Délibérations du Comité sénatorial permanent de la
Sécurité nationale et de la défense
Fascicule 10 - Témoignages du 5 novembre 2012
OTTAWA, le lundi 5 novembre 2012
Le Comité sénatorial permanent de la sécurité nationale et de la défense se réunit aujourd'hui, à 16 heures, pour examiner, en vue d'en faire rapport, les politiques, pratiques, circonstances et capacités du Canada en matière de sécurité nationale et de défense.
Le sénateur Pamela Wallin (présidente) occupe le fauteuil.
[Translation]
La présidente : Mesdames et messieurs, je vous souhaite la bienvenue au Comité sénatorial permanent de la sécurité nationale et de la défense.
Nous reprenons notre examen de la cybersécurité, que nous avons amorcé à la réunion de la semaine dernière. Un peu plus tard, nous entendrons le chef du Centre de la sécurité des télécommunications du Canada, mais nous commençons aujourd'hui par examiner les questions de la cybersécurité et de la sécurité à l'intérieur du ministère de la Défense nationale. Comme nous tentons de l'expliquer, c'est le ministère de la Sécurité publique qui est le principal responsable de la cybersécurité au Canada. Ses fonctionnaires nous ont dit la semaine dernière qu'une somme d'environ 155 millions de dollars, en argent frais, avait été approuvée à ce chapitre. Leur rôle consiste aussi à coordonner la cybersécurité au sein du gouvernement et avec le secteur privé.
Toutefois, le ministère de la Défense nationale joue également un rôle à cet égard. Au printemps dernier, une nouvelle Direction de la cybersécurité a été mise sur pied au sein du ministère. Jusqu'à maintenant, notre principal allié, les États-Unis, a adopté une approche légèrement différente. Au sein des forces, les États-Unis ont établi le cyberespace comme étant un nouveau domaine militaire — au même titre que les éléments terre, mer et aérospatiale — doté de son propre cybercommandement. Nous examinerons aujourd'hui différentes approches possibles à cet égard.
Je souhaite la bienvenue au brigadier-général Greg Loos, directeur général de la Cybersécurité et chef du Développement de la force, et au brigadier-général Roberto Mazzolin, directeur général des Opérations de la gestion de l'information, tous deux du ministère de la Défense nationale.
Bienvenue, messieurs. Nous sommes heureux de vous accueillir à notre comité. Je crois comprendre que le brigadier-général Loos désire faire une déclaration préliminaire.
[Français]
Brigadier-général Greg Loos, directeur général Cybersécurité, chef, Développement des forces, Défense nationale : Merci, madame la présidente. Bonjour, je suis le directeur général cyberespace responsable du développement de la force affectée aux capacités cybernétiques des Forces armées canadiennes. Je suis ravi qu'on me donne la possibilité de donner aux membres de ce comité un aperçu de mon organisation, y compris son effectif, son rôle et ses plans d'avenir.
[Traduction]
Je suis accompagné par le brigadier-général Roberto Mazzolin, qui est responsable de la plupart de nos capacités cybernétiques actuelles : les opérateurs et défenseurs de nos réseaux, le renseignement stratégique militaire d'origine électromagnétique ainsi que l'unité de soutien en matière de guerre électronique des Forces canadiennes.
[Français]
J'aimerais, en premier lieu, situer nos efforts dans le contexte de l'approche pangouvernemental de la sécurité cybernétique.
Comme vous le savez, Sécurité publique Canada est le chef de file du gouvernement du Canada en matière de cybersécurité. Sécurité publique Canada a élaboré et dirige la mise en œuvre de la première stratégie nationale du Canada en matière de sécurité cybernétique en vigueur depuis environ deux ans.
Les trois piliers de la stratégie sont les suivants : protéger les systèmes gouvernementaux, établir des partenariats pour assurer la sécurité des systèmes vitaux à l'extérieur du gouvernement et aider les Canadiens à naviguer en ligne en toute sécurité.
[Traduction]
La stratégie fait appel au ministère de la Défense nationale et aux Forces canadiennes pour renforcer notre capacité de défendre nos propres réseaux, collaborer avec d'autres ministères pour déceler les menaces cybernétiques et les réactions possibles, et travailler avec nos alliés pour échanger des pratiques exemplaires et élaborer des politiques et des cadres juridiques liés aux aspects militaires de la sécurité cybernétique. Le maintien et le renforcement de la défense des réseaux du MDN et des FC sont des activités hautement prioritaires de mon organisation, en collaboration avec le Centre de la sécurité des télécommunications du Canada et Services partagés Canada. Mais je suis aussi responsable d'accroître la capacité des Forces canadiennes d'opérer plus efficacement dans l'environnement cybernétique au sens large. La Stratégie de défense Le Canada d'abord affirmait, en juin 2008, que les Forces canadiennes ont besoin des capacités fondamentales et de la souplesse requises pour contrer les menaces conventionnelles et asymétriques, notamment les cyberattaques. Comme je l'expliquerai dans un moment, les Forces canadiennes doivent être en mesure d'opérer aussi efficacement dans l'environnement cybernétique qu'elles le font sur terre, sur et dans la mer, et dans l'espace aérien.
[Français]
Avant de décrire ce que j'entends par là, permettez-moi de revenir en arrière et d'expliquer les origines et les mandats précis de mon organisation.
En septembre 2010, les forces canadiennes ont créé un groupe de travail spécial sur la cybernétique pour établir les besoins militaires dans ce domaine. Son mandat consistait à optimiser les capacités actuelles en matière de cybernétique tout en mettant en place les conditions nécessaires au développement, à la mise sur pied et à l'utilisation des forces en ce qui a trait aux capacités futures en matière de cybernétique. Les capacités étant définies comme les gens, les processus et l'équipement ou outils.
L'une de ses premières tâches a consisté à élaborer une définition cohérente de l'environnement cybernétique et à conceptualiser l'intervention des forces armées dans cet environnement.
[Traduction]
En avril 2011, le chef d'état-major de la Défense a créé au sein du groupe du vice-chef d'état-major une organisation permanente, la Direction générale du cyberespace, qui relève directement du chef du Développement de la force, le contre-amiral Lloyd, qui s'est adressé à vous le mois dernier. En tant que directeur général, je suis le supérieur du directeur du Développement de la force cybernétique. Cette direction a pour principale tâche de cerner et de développer les futures capacités cybernétiques. Cela comprend un travail conceptuel critique, ainsi que la conception et l'établissement de capacités cybernétiques. Elle englobe le groupe de travail sur la cybernétique des Forces canadiennes, et bénéficie du soutien permanent de ce que nous appelons les organisations de « niveau 1 » dans l'ensemble du MDN et des FC. Ces organisations de niveau 1 sont dirigées par des sous-ministres adjoints ou leurs homologues militaires.
Je passe maintenant au plan de travail de mon organisation. Il est divisé en quatre volets. Le premier a trait aux politiques. Tout comme notre équipe du sous-ministre adjoint aux politiques, nous faisons des suggestions à Sécurité publique Canada sur la mise en œuvre de la Stratégie du Canada en matière de sécurité cybernétique, et nous participons à l'élaboration de politiques concernant le rôle des forces armées dans l'environnement cybernétique. Le deuxième porte sur le commandement et le contrôle, et comprend la conception d'un régime d'autorité, de responsabilité et de reddition de comptes pour les capacités cybernétiques qui relèvent des commandants opérationnels. Comme pour la Stratégie nationale en matière de sécurité cybernétique, notre approche consiste à éviter de traiter tout ce qui concerne la « cybernétique » comme fondamentalement nouveau, et à tenter plutôt d'intégrer, dans la mesure du possible, nos activités cybernétiques dans les cadres de planification et d'opération existants.
Le troisième volet est le renforcement des capacités. Il consiste notamment à assurer que les ressources sont adéquatement axées sur les fonctions fondamentales, et à contribuer à la synchronisation des divers programmes des forces liés à la cybernétique. L'une des grandes priorités, pour renforcer notre capacité cybernétique dans les Forces canadiennes, est de fournir aux commandants une image commune de la situation opérationnelle et de leur permettre de mieux comprendre leur environnement cybernétique, favorisant ainsi une prise de décisions plus éclairée en temps opportun. Finalement viennent les ressources humaines et la formation. On définit les besoins en matière de formation, on élabore un programme permettant de rassembler les compétences spécialisées requises pour opérer de façon efficace dans l'environnement cybernétique et on met en œuvre des mesures pour conserver ces compétences, éviter l'érosion des compétences et assurer un niveau de rétention du savoir approprié.
[Français]
Comme je l'ai mentionné précédemment, la principale priorité du MDN et des forces canadiennes consiste à défendre ses propres systèmes. Nos besoins diffèrent passablement de ceux des autres ministères, surtout en raison du fait que nos commandants doivent assurer la responsabilité du commandement et du contrôle, ainsi que des systèmes capteurs dont dépendent entièrement nos opérations militaires.
Nous collaborons étroitement avec Services partagés Canada et le CSTC pour aider à sécuriser et à défendre certains de nos réseaux, mais nous devons également maintenir notre propre capacité. Les capacités cybernétiques actuelles du MDN et des forces canadiennes liées aux opérations des réseaux informatiques sont axées principalement sur les opérations cybernétiques défensives et les mesures de sécurité en matière de technologie de l'information. Les capacités défensives fondamentales relèvent du groupe des opérations d'information des forces canadiennes qui réside au sein du centre d'opération des réseaux des forces canadiennes.
Cette unité a pour mission de mener des opérations de défense cybernétique et de diriger l'exploitation des réseaux.
[Traduction]
Un thème commun dans l'ensemble de notre travail est la nécessité d'abandonner graduellement l'idée que la cybernétique est une série d'activités de gestion distinctes et souvent techniques afin d'adopter une approche opérationnelle axée sur le commandement plus cohérente. Pour y arriver, de nouveaux processus et procédures, une nouvelle formation à tous les niveaux et une manière de penser différente sont nécessaires. J'aimerais vous en dire plus, mais je m'arrête ici pour le moment.
Compte tenu du fait que l'efficacité opérationnelle dans l'environnement cybernétique exige une coordination et une collaboration étroites avec d'autres ministères ainsi qu'avec nos plus proches alliés, la création et le renforcement de partenariats sont d'autres activités permanentes hautement prioritaires. En particulier, le MDN et les FC ont bénéficié d'un long partenariat avec le Centre de la sécurité des télécommunications qui ne peut que prendre de l'importance dans les années à venir.
Bien sûr, nous apprécions grandement aussi nos partenariats avec les États-Unis, le Royaume-Uni, l'Australie et la Nouvelle-Zélande. La confiance réciproque des membres de ce groupe nous rend plus forts, étant donné que nous devons tous relever des défis semblables. L'OTAN sera également un forum important en matière de coopération.
[Français]
En résumé, le plus MDN et les Forces canadiennes prennent au sérieux la menace cybernétique. Elle est réelle et présente. Nous devons donc être vigilants et efficaces pour contrer les menaces et réduire les vulnérabilités dans l'environnement cybernétique. Au sens plus large, des forces armées modernes doivent être en mesure de comprendre l'environnement cybernétique et opérer efficacement dans ce contexte. Mon organisation en est à ses débuts, mais nous avons commencé à faire une différence et travaillons activement avec des partenaires interministériels importants dans le cadre de la directive d'orientation du gouvernement du Canada visant à offrir des solutions crédibles et complètes pour poursuivre le développement.
[Traduction]
Ainsi s'achève le survol des efforts de développement de la force cybernétique des Forces canadiennes et des responsabilités de mon organisation. Le brigadier-général Mazzolin et moi-même serons heureux de répondre à vos questions.
La présidente : Pour commencer, voyons dans quelle perspective vous concevez les choses. La semaine dernière, nous avons discuté d'un discours récent de Leon Panetta, secrétaire à la Défense, dans lequel il parlait de la possibilité d'un Pearl Harbour cybernétique. Il a parlé de cyberguerriers. Ainsi, les forces militaires américaines envisagent de nouvelles règles d'engagement. En discutant de cette éventualité, utilisez-vous la terminologie militaire? L'étudiez-vous du point de vue des forces armées?
Bgén Loos : Nous essayons d'étudier la question d'un point de vue opérationnel normal dans les forces. Nous considérons ce domaine comme un nouvel environnement institutionnalisé et normalisé. Nous devrons mener des opérations dans un cyberenvironnement. Nous considérons cette question comme un domaine en soi, et c'est quelque chose que nous devons concevoir d'une perspective habilitante de manière à assurer le commandement et le contrôle, afin que des opérations puissent être menées dans d'autres domaines en même temps que dans celui-ci. Nous devons pouvoir mener des opérations dans ce domaine, ou d'autres pourraient en mener contre nous afin de supprimer notre capacité de commandement et de contrôle ou de nous empêcher de connecter nos capteurs avec les décideurs et les unités militaires qui devront passer à l'action.
La présidente : Merci beaucoup. Ça nous éclaire.
[Français]
Le sénateur Dallaire : J'aimerais être sûr de bien comprendre. Nous opérons sur terre, en mer et dans les airs. On s'est lancé un peu dans l'espace. La nature de l'espace cybernétique fait en sorte que l'on perçoit cet environnement comme nouveau, en quelque sorte une quatrième dimension de possibilités de conflits. Est-ce la nature de votre analyse?
Bgén Loos : C'est exactement ce que nous croyons.
Le sénateur Dallaire : L'ampleur est significative. Ce qui m'amène au point suivant.
[Traduction]
Comme votre bureau travaille pour le vice-chef, plutôt que, disons, pour le général Beare, cela signifie que vous travaillez sur le plan stratégique pour l'établissement des doctrines, des structures et des règles d'engagement, comme l'a dit le président, qui seront nécessaires au-delà de nos frontières, parce qu'il n'y a plus de frontières dans cet environnement. Pour vos opérations offensives, la défense active, tout cela, êtes-vous en train de nous dire qu'aucun cadre n'a été établi, comme on en voit normalement dans une armée, qui a sa doctrine, son instruction, ainsi de suite? Êtes-vous en fait en train de créer tout cela à partir de rien au sein de cette nouvelle direction?
Bgén Loos : C'est une question très intéressante. J'essaierai d'y répondre de façon utile.
Comme principes de base, nous avons déjà une structure en place qui nous permet de réaliser certaines des fonctions dont nous parlons maintenant. Pour certaines choses, nous appliquons de vieux principes dans un nouveau cadre. Le cyberenvironnement existe depuis longtemps. Nous devons défendre nos réseaux depuis longtemps. Nous avons maintenant besoin d'une première analyse de ce que nous avons et de ce dont nous avons besoin. Ensuite, nous déciderons ce que nous voulons faire une fois que les fonctions voulues auront été établies.
Je travaille pour le vice-chef, mais aussi pour le chef du Développement de la force, qui est responsable de l'ensemble des capacités interarmées. Or, c'est bien là un motif de capacité interarmées qui touchera tous les autres environnements. Il s'agit d'un processus où l'on doit explicitement concevoir d'abord, puis mettre au point et bâtir, mais nous allons bâtir à partir de ce que nous avons déjà. Relativement et comparativement, nous avons une bonne base de départ, si l'on pense à ce que nous avons déjà sur le plan des capacités. Ce qui est nouveau, c'est ce que font nos alliés et nos adversaires pour augmenter leurs capacités. Nous devons d'abord faire des études conceptuelles pour voir quelles sont les possibilités, à quoi nous devrons faire face, puis nous demander de quelles capacités nous aurons besoin pour être sûrs d'être opérationnels, capables de nous défendre et de nous protéger — pour être sûrs que nous avons toute liberté d'agir. Au bout du compte, selon ce qui ressortira de cette analyse, nous pourrions avoir besoin de nouvelles structures.
Au sein de mon organisme de développement de la force, nous travaillons notamment sur le commandement et le contrôle. Quelle structure faut-il adopter à ces fins? Nous développons les structures que nous avons déjà. Nous rassemblons des pièces pour commencer, et nous apprenons au fur et à mesure. Il y a des gens au sein du nouveau commandement opérationnel interarmées qui sont chargés de s'assurer que nous pouvons synchroniser ce que nous essayons de faire dans le cyberenvironnement et de traiter cela comme tout autre éventail de capacités devant être organisé, planifié, synchronisé et présenté aux commandants interarmées.
Le sénateur Dallaire : Vous entreprenez quelque chose de grand, et nous parlons d'un nouvel environnement. Il ne s'agit pas de gestion de l'information, par exemple de s'assurer que nous avons les pare-feu et les installations TEMPEST nécessaires ou ce genre de choses. Nous ne parlons pas seulement de garnison. Il s'agit bien de garnison, mais aussi de travail en campagne, et les deux sont toujours interreliés. Le sous-ministre adjoint responsable de la gestion de l'information acquiert-il l'équivalent d'un poste trois étoiles — ce qui permet d'envisager la cybernétique d'un point de vue différent par rapport à ce qui a souvent été la norme, soit que les différents environnements s'occupent des questions opérationnelles et vous vous occupez de la majorité des questions de garnison?
Bgén Loos : Il est encore trop tôt pour arriver à des décisions finales. Vous avez abordé l'un des principaux enjeux. Quand nous aurons terminé l'analyse, nous pourrons comparer ce que nous avons actuellement à ce qui nous semble nécessaire. Dans ce genre de cas, il faut présenter une justification de la valeur opérationnelle aux cadres supérieurs d'un ministère et à d'autres intervenants. Nous aurons les moyens de bâtir certaines choses, mais nos moyens ne sont pas illimités. Nos activités n'auront pas la même ampleur ni la même portée que celles de certains de nos alliés — nous le savons dès le départ — mais nous avons l'intention d'améliorer considérablement notre capacité opérationnelle.
La structure pourrait prendre diverses formes. Quelle que soit l'option choisie, nous sommes déjà résolus à faire en sorte que les relations de commandement et de contrôle permettent aux commandants et aux membres du personnel d'intégrer adéquatement cet élément à leurs outils selon les besoins. Nous voulons nous assurer qu'ils comprennent bien ce qui se passe dans l'environnement cybernétique, puisqu'il a des répercussions sur tous leurs environnements opérationnels. Nous devons aussi nous assurer d'avoir la gouvernance et la surveillance appropriées.
Nous avons l'intention de traiter cette question de la même manière que les autres opérations, ce qui suppose des règles d'engagement et une surveillance des cibles stratégiques, au moment et à l'endroit appropriés. Nous voulons normaliser et institutionnaliser cet élément afin qu'il soit considéré non plus comme une exigence nouvelle et différente, mais simplement comme un élément de l'ensemble.
La présidente : Merci pour cette excellente réponse.
Le sénateur Johnson : Vous avez mentionné, au début de votre intervention, que Sécurité publique est le chef de file du gouvernement du Canada en matière de cybersécurité. Vous avez aussi dit que la Défense nationale avait un rôle à jouer quand il s'agit de protéger les Canadiens contre les cyberattaques. Pourriez-vous nous en dire davantage sur le rôle que la Défense nationale et les Forces canadiennes jouent actuellement à cet égard et sur le rôle qu'elles joueront à l'avenir, alors que les cybermenaces iront en s'amplifiant?
Bgén Loos : La Stratégie de cybersécurité décrit assez clairement le rôle du MDN. Nous avons la responsabilité de protéger les renseignements et les réseaux qui nous appartiennent; cela fait clairement partie de notre mandat. Nous devons aussi contribuer aux efforts pangouvernementaux qui visent à définir les menaces et à partager des renseignements sur ce qui se produit dans l'environnement cybernétique. Notre ministère a déjà la responsabilité d'aider les autres ministères quand l'ampleur, la portée ou les conséquences d'un problème de sécurité sont telles qu'il s'agit non plus d'un incident isolé, mais d'un problème plus important ou qui touche la sécurité à l'échelle nationale.
Ces diverses balises guident nos efforts actuels. Je crois que nous examinerons d'autres éléments à mesure que nous progresserons. Nous ne serons pas les chefs de file dans ce dossier, car ce n'est pas notre rôle. Je crois toutefois que nous aurons une place à la table pangouvernementale. Quand les menaces se concrétisent, la situation évolue à la vitesse des réseaux et, au début, il est toujours difficile de comprendre ce qui est en train de se produire. Dans des situations comme celle-là, nous devons participer à la table pangouvernementale dès le début pour être bien informés et savoir ce qui se passe.
En temps normal, les événements qui touchent le gouvernement du Canada seront traités par la Sécurité publique et par le Centre de la sécurité des télécommunications Canada, le CSTC. Mais s'il ne s'agit plus d'un incident isolé et qu'on semble avoir affaire à une attaque qui est parrainée par un État ou qui aura de vastes répercussions, la Défense nationale sera évidemment appelée à participer. Si elle ne participe pas à la résolution du problème, elle sera à tout le moins à la table de discussion pour pouvoir conseiller le gouvernement.
Le sénateur Johnson : Ce domaine est tout à fait nouveau pour la plupart des Canadiens. Je fais office de remplaçant à ce comité, contrairement à certains de mes collègues, et c'est ma troisième semaine. J'ai donc le point de vue d'un Canadien ordinaire en ce qui concerne la sécurité publique.
Vous avez mentionné brièvement l'OTAN. Nos alliés collaboreront-ils avec les Forces canadiennes pour combattre cette menace grandissante? Croyez-vous que l'OTAN jouera un rôle plus important en matière de cybersécurité?
Bgén Loos : L'OTAN a déjà entrepris des travaux importants sur les concepts, les politiques et la défense intelligente. Cet organisme jouera un rôle dans nos travaux.
À mon avis, ce problème dépasse largement les frontières d'un pays ou d'un ministère. Nous devons traiter cette question comme un sport d'équipe. Autrement dit, la seule façon de contrecarrer ceux qui voudraient nous nuire ou poser des gestes malveillants, c'est de partager des renseignements de toutes les manières et dans tous les forums possibles. C'est la stratégie la plus productive, et nous pouvons l'utiliser parce que nous avons accès à l'OTAN et à nos alliés des « Five Eyes ». Nous tentons d'avancer aussi vite que la confiance nous le permet. Plus nous pourrons partager de renseignements et protéger ce que nous partageons, meilleure sera notre situation.
La présidente : Je crois que l'une des distinctions que nous tentons d'établir aujourd'hui, c'est que votre ministère est, à certains égards, différent de tous les autres. Des failles ou des accès non autorisés aux systèmes du MDN auraient des conséquences plus graves que dans d'autres ministères. Vous devez donc vous concentrer d'abord sur cet aspect. C'est bien exact?
Bgén Loos : Oui, c'est absolument vrai. En fait, le brigadier-général Mazzolin contrôle la plupart de nos forces actuelles. Ce sont ses employés qui livrent ce combat quotidien.
La présidente : Brigadier-général Mazzolin, pourriez-vous nous en parler un peu?
Brigadier-général Roberto Mazzolin, directeur général, Opérations de gestion de l'information, Défense nationale : Cela devient un enjeu, fondamentalement. C'est ce que nous appelons l'environnement cybernétique ou l'environnement réseau, et que la plupart des Canadiens appellent Internet. Cette technologie fait partie intégrante de tout ce que font les Canadiens. Cela s'applique donc aussi aux organisations militaires, par le fait même.
Nous sommes aux prises avec le même défi que nos partenaires de la défense du monde entier. La doctrine, les tactiques, les techniques et les procédures qui s'appliquent normalement aux patrimoines communs —notamment les environnements aérien, terrestre et maritime — se sont formées au fil des millénaires. Les construits organisationnels et la doctrine sont établis depuis longtemps. La puissance aérienne est en place depuis 100 ans. En comparaison, l'univers cybernétique est encore nouveau.
Le défi de nombreuses forces militaires consiste à définir le cadre conceptuel. Si on considère que, dans ce contexte, la défense a pour rôle de faire respecter la volonté nationale ou les intentions politiques de la nation dans le cadre d'un objectif de sécurité stratégique plus vaste, le défi consiste à définir notre place dans cet environnement. L'informatique est omniprésente dans toutes les facettes de tout ce que les gens font. Quelle est notre place dans ces domaines très vastes? Voilà certains des défis sur lesquels nous devons nous pencher.
Le sénateur Lang : J'aimerais revenir sur ce qu'a déclaré le secrétaire américain à la Défense Panetta il y a deux mois, le 11 septembre. Comme vous le savez, il a fait une déclaration importante sur la cybersécurité. J'aimerais en citer un extrait, pour faire suite à l'observation du sénateur Johnson, qui a souligné que la plupart des Canadiens ne sont pas conscients de la gravité de la situation. J'aimerais que vous nous parliez davantage de l'importance de la déclaration de M. Panetta, des menaces auxquelles nous sommes confrontés et des raisons qui nous amènent à poser les gestes que nous devons poser.
À titre d'information, voici ce qu'il a dit au sujet des atteintes à la cybersécurité :
Le résultat collectif des attaques de ce genre pourrait se comparer à un Pearl Harbor informatique, donc à une attaque qui causerait des pertes matérielles et des décès. En fait, une attaque comme celle-là paralyserait la nation, causerait un choc et créerait un profond sentiment de vulnérabilité.
Quand le secrétaire à la Défense des États-Unis fait de telles déclarations, il faut les prendre au sérieux. Pourriez-vous nous dire ce que vous en pensez? Il m'apparaît important que les Canadiens comprennent l'ampleur du problème.
Bgén Loos : Tout à fait. Je demanderai aussi au brigadier-général Mazzolin de répondre à cette question. Pour ma part, je ne pense pas être en mesure de confirmer ou d'infirmer ce qu'a dit le secrétaire Panetta. Je crois que de nombreux commentateurs proposeront différents scénarios techniquement valides et possibles. Je ne peux pas me prononcer sur les probabilités.
Il faut faire de savants calculs pour déterminer qui sont les auteurs de ces menaces. Il en existe une grande variété, qui vont des hacktivistes aux organisations criminelles, en passant par les organisations terroristes parfois soutenues ou parrainées par un État, qui ont les moyens les plus sophistiqués. Toutefois, quand un groupe parrainé par un État a des moyens très sophistiqués, il faut tenir compte d'autres facteurs pour déterminer s'il passera effectivement à l'action et posera des gestes comme ceux dont nous parlons aujourd'hui.
Je n'ai pas vraiment d'opinion à ce sujet. Je crois qu'il existe plusieurs possibilités. Je ne voudrais vraiment pas tenter de prédire si cette menace se dressera devant nous demain.
Pour revenir à la question, les éléments essentiels sont le scénario, le ministère et les Forces canadiennes. De toute évidence, si un incident devient un problème de sécurité plus vaste, nous aurons un rôle à jouer. Nous devrons en être informés, ne serait-ce que pour pouvoir assurer la poursuite de notre mission militaire. En effet, s'il y a une panne d'électricité ou une interruption des télécommunications ou des transports, cela peut avoir des répercussions sur notre capacité de nous acquitter de notre mission. Pour revenir à ce que je disais plus tôt, c'est pourquoi nous devons participer à la table pangouvernementale et être informés des événements au même moment que les autres partenaires du gouvernement, qui s'acquittent de leurs propres tâches et jouent leur rôle.
Je crois que si l'incident a des répercussions sur Internet ou dans le monde physique, nous participerons à la résolution. Toutefois, en ce qui concerne les efforts que j'ai entrepris en vue de bâtir les Forces canadiennes comme elles doivent être bâties, ce dossier n'est pas un moteur important. Je ne crois pas que nous nous appuyions sur des prédictions apocalyptiques pour définir ce que nous allons bâtir, du moins pas au MDN ni dans les Forces canadiennes.
Le brigadier-général Mazzolin aimerait peut-être ajouter quelque chose à propos de cette menace.
Bgén Mazzolin : Merci. Encore une fois, il est très difficile de prédire la probabilité d'un scénario ou d'un autre et de définir la menace. La tendance générale veut qu'on se concentre sur les acteurs des États étrangers, qui se classent au niveau le plus élevé sur l'échelle des menaces. C'est un fait bien connu parmi les intervenants du monde du renseignement, et il serait inapproprié de donner plus de détails ici.
Nous déployons des efforts considérables afin de protéger les réseaux qui servent à notre infrastructure, au commandement et au contrôle, afin d'assurer le maintien de nos activités.
Le plus grand défi qui se pose est peut-être celui des menaces asymétriques auxquelles nous sommes confrontés. C'est particulièrement important pour les Forces canadiennes, puisque nous sommes une force militaire généraliste. Comme le veut notre longue tradition, nous intervenons dans une grande variété de contextes opérationnels, qu'il s'agisse de secours en cas de catastrophe, d'opérations humanitaires ou de guerres intensives. Nous avons aussi pour responsabilité de soutenir les premiers intervenants fédéraux et les organismes de sécurité quand on nous le demande.
Les menaces asymétriques comportent un investissement minime, c'est d'ailleurs ce qui pose problème. Comme l'attaquant prend toujours l'initiative, le pays ou les forces armées en cause doivent déployer des efforts considérables pour se défendre contre une menace qui, quant à elle, nécessite très peu de ressources.
Notre principal défi à cet égard consiste donc à déterminer comment intégrer la cybernétique dans un contexte où nous voulons faciliter les opérations.
Le sénateur Lang : Si je soulève la question, c'est qu'il vous incombe, du moins en partie selon moi, de faire le nécessaire pour prévenir ce genre de choses.
Général Loos, vous avez dit dans votre discours qu'il faudra de nouveaux processus et de nouvelles procédures, une nouvelle formation à l'intention de tous les niveaux et une manière de penser différente, ce qui n'est pas sans rappeler la déclaration prononcée il y a deux mois par le secrétaire américain à la Défense.
À quoi ressemble au juste votre échéancier? Nous changeons la façon dont nous percevons les menaces cybernétiques. Des ressources ont été débloquées. Quel est votre échéancier pour mettre en œuvre ces nouvelles procédures, offrir la nouvelle formation et changer la façon de penser? Avez-vous le personnel qualifié nécessaire? Il s'agit là aussi d'un point soulevé par M. Panetta, le secrétaire à la Défense, dans sa déclaration publique.
Bgén Loos : Vous avez raison pour ce qui est de l'échéancier, nous sommes pressés par le temps. J'ai parlé des différents volets dans mon organisation et je dirais qu'il faut d'abord se pencher sur les capacités, sur le commandement et le contrôle, ainsi que sur les politiques et les questions de gouvernance qui doivent être normalisées, avant de pouvoir s'attaquer aux ressources humaines.
Le volet ressources humaines sera fort probablement le plus exigeant. Comment utiliserons-nous notre système de classification des métiers pour trouver, à court terme, les solutions nécessaires? Nous traversons, je le rappelle, un processus très méthodique de développement de la force dans le but d'analyser nos besoins et, par la suite, de mettre en place un programme et des éléments pour y répondre. Il y aura sans aucun doute des changements structurels, de nouvelles approches en matière de ressources humaines et des changements de doctrine pour appliquer les nouvelles mesures. Tant les spécialistes que les membres ordinaires des Forces canadiennes sont concernés.
Tous ceux qui se trouvent devant un écran d'ordinateur font partie de cet environnement. Ils peuvent prendre les mesures qui s'imposent, mais ils peuvent aussi être vulnérables si nous ne nous occupons pas de l'assurance de l'information et de la protection des renseignements.
De façon réaliste, il nous faudra, dans un premier temps, quelques années pour mieux organiser et utiliser les ressources dont nous disposons et mettre en place les premiers cadres qui régiront certaines des nouvelles capacités. Par la suite, il faudra compter encore un certain nombre d'années avant que le programme dans son intégralité commence à porter ses fruits.
Un peu plus tard, il y aura la question de l'architecture. L'espace réseau et l'infrastructure dont nous disposons actuellement n'ont pas nécessairement été conçus en tenant compte des considérations de protection et de défense. Ces éléments sont ajoutés avec le temps, dans certains cas. Il nous arrive, dans le but d'améliorer nos opérations et de les rendre plus conformes, de procéder à des installations qui aident les commandants et le personnel à comprendre leur environnement et à faire leur travail.
Étant donné ce que nous savons maintenant, à l'avenir, nous concevrons dès le départ une infrastructure plus solide et nous veillerons à intégrer les outils nécessaires pour qu'il soit plus facile d'en assurer la protection.
Nous déployons beaucoup d'efforts dans ce programme. Nous avons de nombreux défis à relever, vous avez entièrement raison ce sur point.
Le sénateur Day : J'ai la tête pleine étant donné tout ce qui vient d'être dit. Je vous remercie d'être venu nous éclairer un tant soit peu. Dans le document que je parcours, j'examine les différentes relations qui existent.
Premièrement, pouvez-vous me dire si le MDN est desservi par Services partagés Canada ou si, au MDN, les gens qui travaillent dans le domaine de la technologie de l'information ne font pas partie de Services partagés Canada?
Bgén Loos : Le général Mazzolin pourra prendre la parole après moi, parce que Services partagés Canada fait partie de l'approche intégrée de l'organisation.
Dans mon exposé, je n'ai pas insisté sur le fait que, pour nous, le cyberenvironnement ne se limite pas strictement à notre espace réseau du point de vue militaire. En effet, au-delà de l'espace réseau, il englobe nécessairement tout ce qui est transmis sur une radiofréquence, tout ce qui est reçu sur nos capteurs et nos systèmes-capteurs, remis aux décideurs et envoyé aux unités ou aux groupes qui doivent passer à l'action. Tout cela fait partie du cyberdomaine ou cyberenvironnement et va très certainement au-delà des compétences de Services partagés Canada.
En outre, nous considérons que nos systèmes de commande et de contrôle de niveau secret ou supérieur à secret sont en fait des systèmes d'armes. Nous estimons qu'il s'agit d'outils dont nous avons besoin pour assurer le commandement et le contrôle, et pour effectuer nos opérations. Nous devons nécessairement contrôler ces systèmes. Il y a là une ligne de démarcation.
J'ajouterai qu'il incombe à Services partagés Canada de nous desservir pour ce qui est des produits de technologie de l'information, du courrier électronique et des centres de données, mais nous sommes responsables d'assurer l'intégration de tous ces éléments. Ces systèmes viennent appuyer les opérations et la fonction de commandement. Tout ce qui touche les services fournis par Services partagés Canada, ainsi que les services de défense du Centre de la sécurité des télécommunications Canada, est important pour nous. Nous devons intégrer ces différents éléments de manière à présenter aux commandants un portrait global de ce qui se passe afin qu'ils puissent déterminer d'où viennent les attaques, le cas échéant, les mesures d'atténuation et les correctifs à apporter.
Je sais qu'au sein du groupe de gestion de l'information, la transition en cours constitue un travail magistral, notamment en ce qui concerne les nouvelles responsabilités dans le cadre de l'initiative Services partagés Canada.
Bgén Mazzolin : Le brigadier-général Loos a bien répondu à la question. J'ajouterais que l'initiative Services partagés Canada — à laquelle nous avons consacré des efforts considérables pour ce qui est de diviser les ressources qui nous sont transférées de manière à protéger celles que nous avons au ministère de la Défense nationale — représente une occasion pour nous.
Les produits de technologie de l'information que Services partagés Canada est responsable de gérer englobent une part importante de ce que nous considérons comme des réseaux d'infrastructure de commandement et de contrôle. Pratiquement tout ce que nous faisons à la Défense nationale se répercute sur notre capacité de mener des opérations.
Nous tentons de respecter cette ligne de démarcation au ministère, ce qui nous permet de nous mettre l'accent sur les réseaux, dans un contexte classifié, qui sont essentiels pour soutenir, en déploiement, les communications, le commandement, le contrôle, les services informatiques, le renseignement, la surveillance et les opérations de reconnaissance. Nous nous sommes efforcés de comprendre où était la démarcation. Même dans l'environnement informatique ministériel — l'environnement d'applications qui appuie les opérations militaires, qui est propre à la Défense nationale —, nous essayons de nous concentrer sur les données et les renseignements des réseaux fournis par Services partagés Canada et de bâtir notre propre infrastructure de réseaux pour pouvoir protéger les renseignements et faciliter les opérations dans le cyberespace.
Le sénateur Day : Votre rôle de protection de l'information et du cyberespace dépasse le cadre du ministère de la Défense nationale et s'étend au Canada. La défense du Canada exige que vous assumiez ces fonctions élargies, n'est-ce pas?
Bgén Loos : Je vous dirais que non, monsieur, à l'heure actuelle, il n'est pas prévu que nous jouions un plus grand rôle. Évidemment, nous considérons que nous faisons partie intégrante de l'équipe pangouvernementale qui s'occupe des cas de sécurité d'une certaine ampleur et envergure, mais c'est au Centre de la sécurité des télécommunications Canada qu'il revient de protéger les systèmes gouvernementaux. Pour ce qui est de la coordination avec les provinces, les territoires et les industries essentielles, c'est le ministère de la Sécurité publique qui est responsable.
De toute évidence, nous nous intéressons à ce qui se passe. Comme je l'ai dit, il y a tout de même un lien avec l'armée, sur le plan de l'assurance des missions, et nous devons comprendre les enjeux au cas où un problème de sécurité nationale exigerait que l'armée offre des conseils et contribue aux efforts de lutte.
Le sénateur Day : J'aimerais avoir une idée des attributions du groupe de la guerre électronique, de vos liens avec lui et de vos liens avec l'établissement de l'électronique et des communications de Kingston dans le contexte de l'armée. Vous avez parlé de l'Australie, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis et de votre collaboration avec ces pays. Qu'en est-il des pays membres de l'OTAN qui ont vu à la création d'un centre de recherche sur la cyberdéfense, situé en Estonie? Quelles leçons avons-nous tirées de la cyberattaque contre l'Estonie? Pourriez-vous nous en parler? J'aimerais comprendre votre rôle à l'intérieur de ces divers paramètres.
Bgén Loos : Je vais vous laisser parler de la guerre électronique.
Bgén Mazzolin : Vous avez posé beaucoup de questions sur l'étendue de la capacité. Actuellement, la principale entité opérationnelle au sein des Forces canadiennes est le Groupe des opérations d'information, dont fait partie le Centre de guerre électronique des Forces canadiennes, lequel soutient nos plateformes tactiques dans une perspective de guerre électronique. Le Groupe des opérations d'information s'occupe du renseignement militaire d'origine électromagnétique, des opérations de défense des réseaux et des capacités en matière de guerre électronique. Voilà l'essentiel de notre travail dans l'environnement cybernétique. Je pense que c'est ce dont vous parliez.
Nous travaillons en étroite collaboration avec nos partenaires internationaux pour ce qui touche à la doctrine, aux tactiques, aux techniques et aux procédures, ainsi qu'à l'interopérabilité. Lorsque les Forces canadiennes sont déployées à l'étranger pour participer à des opérations au sein d'une coalition, leurs plateformes doivent être utilisées conjointement avec celles des alliés. C'est pourquoi il est crucial que les systèmes soient interopérables.
Vous avez fait allusion à l'école de Kingston. Je crois que vous faites référence à l'École de l'électronique et des communications. Pour le développement des capacités militaires, l'éducation, la formation, le perfectionnement professionnel et la doctrine sont fondamentaux. On consacre beaucoup d'efforts afin de rendre l'école plus à même de fournir cette capacité.
La présidente : Je vous remercie beaucoup. Sénateur Nolin, vous êtes le suivant.
[Français]
Le sénateur Nolin : Plusieurs de mes préoccupations ont été discutées. Général Loos, est-ce que je me trompe ou votre champ d'activité s'exerce déjà dans un théâtre d'opération? Compte tenu de la vitesse de réaction nécessaire pour faire face à l'ennemi, s'il se présente, les réactions normales d'un système de défense, même s'il s'agit d'un monde anormal, seront hors d'ordre. Vous allez devoir réagir très rapidement. Si on reprend l'exemple de l'Estonie, en quelques heures, les systèmes ont arrêté de fonctionner.
Ma question est alors la suivante : comment vos services s'intègrent-ils avec les opérations interarmées? Quelle efficacité retrouve-t-on dans la chaîne de commandement pour s'assurer que la vitesse de réaction soit au cœur des préoccupations de vos supérieurs?
Bgén Loos : Si vous me permettez, je vais répondre en anglais afin de mieux m'exprimer.
Le sénateur Nolin : Absolument.
[Traduction]
Bgén Loos : Vous abordez plusieurs éléments. Vous avez tout à fait raison quant aux activités quotidiennes de surveillance des actes malveillants et des tentatives de sondage des systèmes. On peut parler de bataille. Absolument.
En effet, d'un point de vue technologique, le but est de contrer les menaces à la vitesse des réseaux. Un des principaux points que nous examinons, c'est la manière d'améliorer notre connaissance de la situation. Cela nous ramène à la configuration des réseaux et à son amélioration. La façon dont on bâtit les systèmes de sécurité et de défense au départ permet de comprendre mieux et plus vite ce qui se passe grâce à la technologie et à l'infrastructure de l'information, de suivre les tendances, de recueillir des données sur les incidents compromettant la sécurité. Les capteurs dont sont dotés les réseaux détectent les actes malveillants. Ces systèmes servent aussi pour les renseignements opérationnels, les opérations et les exercices. Cela en fait partie.
D'autres partenaires gouvernementaux cherchent à améliorer la capacité afin de nous aider à contrer les menaces en temps réel. C'est un autre aspect des efforts déployés.
L'organisation et la structure sont sans aucun doute des facteurs dont nous tiendrons compte dans les analyses nous permettant d'évaluer l'organisation des opérations.
Le sénateur Nolin : Je dois dire que la réponse que vous avez donnée à mon collègue est un peu inquiétante; il semble s'agir d'un effort de longue haleine qui produira seulement des résultats dans plusieurs années. Voilà ce qui m'inquiète.
Bgén Loos : C'est vrai, mais nous avons maintenant une organisation responsable de veiller à la défense de nos réseaux et au bon déroulement des opérations réseau. Elle relève du commandement et du contrôle du général Mazzolin. Le Groupe des opérations d'information, notre centre d'opérations réseau, assume aujourd'hui cette responsabilité. Il suit une chaîne de commandement, mais il peut aussi travailler directement avec l'État-major interarmées stratégique ainsi qu'avec le commandant des opérations interarmées afin que l'information jugée essentielle puisse être mise en commun en temps réel. Nous avons déjà chargé divers effectifs d'entamer la normalisation des opérations en les intégrant au quartier général et au sein de l'État-major interarmées stratégique. C'est ce qui se passe actuellement. Le résultat final sera-t-il différent? Fort probablement. Il nous reste du travail à faire, mais certaines structures ont déjà été établies.
Un aspect des efforts de normalisation consiste à permettre aux commandants opérationnels de comprendre l'environnement et de poser des questions afin de satisfaire à ce qu'on appelle les besoins essentiels du commandant en information. Qu'est-ce qu'un commandant pourrait bien vouloir connaître au sujet de l'environnement cybernétique? Les gens responsables des opérations et de la défense réseau seront ensuite en mesure de répondre aux questions du commandant afin que son personnel et lui aient toute l'information nécessaire à la préparation des opérations.
[Français]
Le sénateur Nolin : En matière de défense du continent, le Canada et les États-Unis ont développé NORAD depuis plusieurs années. Envisagez-vous qu'un jour, le plus rapidement possible j'espère, on puisse développer avec les Américains la même approche compte tenu de l'importance de la réaction rapide en matière de défense cybernétique; le même type d'approche développé avec NORAD? Autrement dit, qu'on aille au-delà de la chaîne de commandement et qu'on puisse mettre en place une unité de commandement qui soit agile et capable de réagir rapidement?
[Traduction]
Bgén Loos : Je crains qu'on aborde des questions stratégiques qui échappent à mon mandat actuel.
Le sénateur Nolin : Peu importe.
Bgén Loos : J'estime effectivement que nous avons beaucoup bénéficié de l'approche adoptée par le NORAD pour la défense du continent, approche qui permet de faire en sorte que les questions essentielles parviennent aux paliers concernés, dans certaines circonstances et pour certaines raisons considérées stratégiques, aux fins de prises de décisions.
Maintiendrons-nous cette approche à l'avenir? Je pense que oui, mais je ne suis pas en mesure de vous brosser un portrait complet. Sera-t-elle limitée au ministère de la Défense? Je pense qu'elle sera appliquée à l'ensemble du gouvernement.
La présidente : Votre réponse est acceptable. Le président tout comme le premier ministre se sont tous deux dits préoccupés par cette question dans les dossiers de la sécurité du périmètre et de notre frontière commune. Vous avez raison; c'est une question qu'il faudrait adresser à quelqu'un d'autre.
Le sénateur Mitchell : Ce sujet est fort intéressant et vous l'expliquez très bien. J'ai vite compris, en écoutant votre exposé, que vous parlez toujours de défense et de notre capacité de repousser d'éventuelles attaques — ne pensez surtout pas que je vous fais un reproche. Cela signifie donc qu'un autre pays, une autre entité, envisage des armes cybernétiques. Cherchons-nous, de notre côté, à mettre au point de telles armes, ou nous concentrons-nous seulement sur la défense? Sommes-nous à l'aube d'une nouvelle ère de guerres cybernétiques, où l'on doit penser non seulement aux moyens de se défendre mais aussi aux moyens de passer à l'attaque?
Le sénateur Day : La meilleure défense consiste à attaquer, en quelque sorte.
Le sénateur Mitchell : D'autres pays ont de telles armes à leur disposition. Les avons-nous au Canada? Devrions-nous les avoir? Êtes-vous en mesure de nous le dire?
Bgén Loos : Je peux vous en dire quelques mots, mais sûrement pas autant que vous l'auriez espéré.
Il est vrai que beaucoup de pays du monde cherchent à exploiter les capacités offensives de l'informatique dans le cadre d'opérations militaires ou encore à déterminer s'il existe un potentiel à cet égard ou si elle sert seulement à produire certains effets. Si l'informatique a le potentiel de permettre à une organisation d'atteindre son objectif sans employer des moyens cinétiques, et donc en minimisant les dommages collatéraux, je suppose que beaucoup de pays s'y intéressent. On peut certainement lire dans la presse publique que nombre d'éventuels adversaires ont démontré leur disposition à exploiter de telles capacités au service de leurs intérêts nationaux.
Pour revenir à nos propres intentions, il est indéniable que nous devons être en mesure d'être compétents dans le domaine. Nous avons beau nous concentrer sur la défense et la connaissance de la situation, nous devons également nous assurer de maintenir notre capacité d'utiliser les moyens cybernétiques à notre disposition pour, à tout le moins, appuyer nos opérations. Le commandement et le contrôle sont essentiels. Nous devons pouvoir communiquer avec nos éléments de détection et de tir. Il est question d'assurer le succès de notre mission, de pouvoir opérer et manœuvrer librement dans l'environnement cybernétique; je ne peux pas vraiment me prononcer sur autre chose.
Le sénateur Mitchell : On s'imagine une nouvelle guerre froide, où toutes les parties s'arment de mesures de dissuasion virtuelles car elles craignent toutes les dégâts cybernétiques que l'autre pourrait causer.
Bgén Mazzolin : J'aimerais ajouter qu'étant donné sa nouveauté relative, on a tendance à voir l'informatique comme quelque chose de distinct. À notre avis, toute organisation militaire moderne et progressiste responsable d'affirmer sa volonté dans divers environnements — l'air, la terre, la mer et maintenant l'environnement cybernétique — se doit d'offrir toute une gamme d'options aux commandants opérationnels et de permettre à notre volonté nationale de motiver une réponse sur mesure à toute attaque, intrusion ou activité entreprise par une entité hostile.
Le sénateur Mitchell : Voilà qui soulève une question intéressante. Si un pays étranger largue des bombes sur une usine et cause des dégâts considérables, il ne fait aucun doute qu'il s'agit d'un acte de guerre. Cependant, si un pays étranger s'en prend aux systèmes informatiques de cette usine et cause tout autant de dégâts en faisant dérailler des trains, entraînant des répercussions économiques et peut-être même des morts, s'agirait-il là d'un acte de guerre? Dans l'affirmative, cela revient à ce que vous avez dit à propos de ce qui constituerait une intervention proportionnelle, puisqu'elle ne consisterait pas nécessairement à envoyer un avion là-bas larguer des bombes; vous avez aussi parlé de la question de savoir si nous avons les moyens d'effectuer de telles interventions. C'est une question intéressante; le monde évolue constamment et nos perceptions changent également.
Bgén Loos : Je ne suis pas sûr qu'il s'agissait d'une question, mais je répondrai quand même.
À mon avis, une activité cybernétique qui produit des résultats peut effectivement être perçue comme un acte de guerre. De plus en plus de pays —surtout dans l'Ouest, où les perspectives nationales se ressemblent — s'entendent à ce sujet. Ils s'intéressent principalement aux effets produits. Dans le droit des conflits armés, est considérée comme un acte de guerre toute activité dont les effets causent des dégâts importants, des blessures ou des morts; bien évidemment, ce qui constitue des dégâts importants prête encore à interprétation. Au bout du compte, la question de savoir s'il s'agissait d'une attaque armée justifiant une intervention est politique, qu'il s'agisse ou non d'une intervention de l'OTAN en vertu de l'article 5. Il reviendra aux sphères politiques de déterminer si la gravité de l'attaque justifie une intervention.
C'est le consensus croissant dans le milieu juridique. Pour revenir à la question de Tallinn, le plus grand succès du Centre d'excellence en cyberdéfense de l'OTAN repose sur la diffusion de ces idées et la création d'un consensus sur l'interprétation de ces activités. On estime que le droit international convient parfaitement si l'on s'en tient aux effets produits et à leur gravité.
La présidente : Bien évidemment, tout revient à trouver l'entité responsable.
Le sénateur Dawson : J'ai visité Tallinn dans le cadre d'une étude que nous avons effectuée. Je ne répéterai pas le fait que le Canada n'a aucun plan pour l'amener à l'âge du numérique. Nous n'avons aucun plan national. Il est donc plutôt évident que nos compétences numériques laissent à désirer. Non seulement comprenons-nous mal les cyberattaques, nous comprenons mal le cyberespace en général. Nous n'éduquons pas les jeunes. La technologie nous dépasse.
Au bout du compte, si le centre à Tallinn a pu intervenir, c'est parce qu'il avait une stratégie numérique. Il savait ce qu'il faisait dans le monde numérique. C'est là qu'on a inventé Skype.
Comment pouvez-vous jouer votre rôle si le reste du pays, les provinces et les entreprises privées, ne collaborent pas avec vous afin de mieux comprendre les rouages d'Internet, ce qui permettrait également aux gouvernements — car les provinces sont également concernées, pas seulement le gouvernement central — d'améliorer leurs efforts de planification? Le reste du gouvernement vous appuie-t-il dans vos efforts? Oui ou non?
Bgén Loos : Autrement dit, vous me demandez si le gouvernement en fait assez dans le domaine.
Le sénateur Dawson : Tous les gouvernements, y compris provinciaux et autres.
Bgén Loos : Honnêtement, je ne pense pas être bien placé pour m'exprimer là-dessus. Ce que je sais, c'est que le ministère de la Sécurité publique a la première responsabilité pour ce qui est d'assurer la coordination avec d'autres ordres de gouvernement et avec l'infrastructure essentielle.
Je répète que vous avez tout à fait raison : les militaires sont bel et bien concernés, car il est dans leur intérêt que tout le monde comprenne son rôle. Lorsque vient le moment de passer à l'action, même s'il s'agit d'une opération locale d'aide au pouvoir civil, toute panne de courant affectera les opérations. De même, toute perturbation dans le système de transport affectera les opérations. Il est dans notre intérêt d'assister aux réunions regroupant l'ensemble des instances gouvernementales. Pour ce que ça vaut, nous avons quelque chose à contribuer à ces réunions, car nous sommes habitués à répondre aux situations de sécurité de portée et d'ampleur variables en coordonnant toute une gamme d'activités distinctes; nous pouvons mettre à contribution notre expertise en matière de planification, au besoin, pour répondre à toute éventualité.
Faut-il davantage sensibiliser les industries? Absolument. Cela fait partie du mandat du ministère de la Sécurité publique. D'après ce que je sais et selon de récents rapports du vérificateur général, on fait des progrès à cet égard.
La présidente : Le comité a entendu un témoignage à ce sujet la semaine dernière. Certains groupes industriels interviennent et vice-versa. L'argument qui revient souvent est qu'on doit tous assumer une plus grande responsabilité à cet égard et s'assurer de prendre certaines précautions lorsqu'on effectue des activités en-ligne ou des transactions bancaires; tout le monde a un rôle à jouer.
Je tiens à vous remercier de votre témoignage aujourd'hui et de la prévoyance dont vous faites preuve. Nous sommes conscients que vous n'aviez pas le choix, étant donné l'importance des enjeux en cause. Nous remercions également le brigadier-général Greg Loos et le brigadier-général Roberto Mazzolin. Je suis certain que nous aurons l'occasion de vous parler à nouveau.
Mesdames et messieurs, nous poursuivons cette séance du Comité sénatorial permanent de la défense et de la sécurité. Lors de notre rencontre de la semaine dernière, des représentants du ministère de la Sécurité publique nous ont brièvement parlé du rôle du Centre de la sécurité des télécommunications Canada en matière de cybersécurité. Aujourd'hui, nous allons en entendre un peu plus au sujet du CSTC et de tous ces acronymes que ce comité doit apprendre à connaître et à aimer. Le CSTC est un organisme indépendant qui relève du ministère de la Défense nationale. Il s'agit de l'organisme ultrasecret de cryptologie, qui protège le système d'information électronique et de communication du gouvernement fédéral et qui fournit à ce dernier des conseils spécialisés en la matière. Il s'agit d'un mandat énorme, qui ne cesse de s'élargir. Pour nous éclairer un peu plus sur le sujet, John Forster, chef du CSTC, et Toni Moffa, chef adjointe responsable de la sécurité des technologies de l'information, sont avec nous aujourd'hui.
John Forster, chef, Centre de la sécurité des télécommunications Canada : Merci, madame la présidente. J'ai distribué une copie de mon témoignage mais il se pourrait que j'en saute des passages, par souci de rapidité, afin de laisser le plus de temps possible pour les questions. Je vous remercie de votre invitation; je suis heureux d'être ici à titre de chef du Centre de la sécurité des télécommunications Canada, ou CSTC, votre acronyme préféré. Je dois dire que, pendant la courte période qui s'est écoulée depuis ma nomination au poste de chef du CSTC, en février, j'ai été particulièrement ravi et fier de diriger cet organisme, qui peut compter sur des capacités impressionnantes et sur un personnel dévoué.
[Français]
Tout d'abord, je me propose de vous dire quelques mots sur les raisons d'être du SCTC, sur ses activités et sa contribution au maintien de la sécurité et de sûreté du Canada. Par la suite, je serai disposé à répondre à vos questions.
[Traduction]
Le mandat du CSTC consiste à accomplir les trois fonctions suivantes : premièrement, collecter des renseignements électromagnétiques étrangers, conformément aux priorités gouvernementales en matière de renseignements, établies annuellement par le gouvernement; deuxièmement, fournir des conseils, des avis et des services pour aider à protéger les renseignements électroniques et l'infrastructure d'information, qui sont importants pour le gouvernement du Canada; et troisièmement, fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité, dans l'exercice du mandat qui leur est conféré par la loi.
Il est important de souligner d'emblée qu'en vertu de la loi, quiconque se trouve dans les limites territoriales du Canada ne peut être la cible des activités du CSTC. Il en va de même pour tous les Canadiens, peu importe où ils se trouvent dans le monde.
[Français]
Nos politiques, procédures et mécanismes d'examen sont des plus stricts, ce qui nous permet de protéger la vie privée des Canadiens et de mener nos activités en toute légalité.
[Traduction]
Le plus remarquable de ces mécanismes est sans doute le Bureau du commissaire du CSTC dirigé par l'honorable Robert Décary, ancien juge de la Cour fédérale, qui a le pouvoir et les accès requis permettant de vérifier si les activités du CSTC sont conformes aux lois. Au cours des 16 dernières années, aucun des rapports d'activités annuels déposés par les commissaires du CSTC n'a fait état d'irrégularités. En décembre dernier, le CSTC est devenu un organisme autonome. Auparavant, le CSTC faisait partie du ministère de la Défense nationale; nous sommes toujours partie intégrante du portefeuille et de la famille de la Défense nationale. Nous collaborons étroitement avec le ministère de la Défense nationale et les Forces canadiennes, et nous relevons du ministre de la Défense nationale.
Quant à notre organisation et nos opérations, permettez-moi de vous expliquer ce que nous faisons. Le comité comprendra que je dois respecter certaines limites concernant ce qui peut être dévoilé en public étant donné la nature sensible de notre travail.
La présidente : Effectivement, nous comprenons.
Le sénateur Dallaire : Nous en sommes très déçus.
M. Forster : C'est noté. Le premier volet de notre mandat consiste à faire la collecte de renseignements électromagnétiques étrangers, ce qui nécessite souvent le décryptage d'information, qui correspond à ce que l'on appelle le « cassage de code » aujourd'hui. Nous fournissons des renseignements, conformément aux priorités annuelles du gouvernement en matière de renseignements. Le gouvernement établit les priorités et nous les respectons. Nous collaborons avec nos alliées dans la lutte contre le terrorisme, ou contre toute autre menace, et avec les Forces armées canadiennes dans le cadre de leurs missions à l'étranger, comme en Afghanistan, par exemple. Nous fournissons au gouvernement du Canada des renseignements qui contribuent à l'élaboration de politiques et la prise de décisions, ainsi que des avertissements, des contre-mesures et l'expertise judiciaire en matière de cybermenaces.
[Français]
Ces activités ont permis d'atteindre les objectifs suivants : identifier les menaces pesant sur le Canada et les Canadiens se trouvant à l'étranger, protéger la vie des hommes et des femmes des forces canadiennes qui sont en mission à l'étranger, veillez à ce que les principaux décideurs du gouvernement disposent des meilleures informations possible.
[Traduction]
Le deuxième volet de notre mandat, d'un intérêt particulier pour le comité, concerne la protection de l'information. D'abord, permettez-moi de souligner à quel point cet aspect de notre travail est devenu de plus en plus difficile et important au cours des dernières années. La croissance de l'Internet, la multiplication des ordinateurs et l'essor des technologies de communication a été fulgurante au cours des 10 dernières années. À l'heure actuelle, on estime à plus de 2 milliards les internautes qui visitent les quelque 500 millions de sites sur le web. En 2011, le trafic mondial sur Internet était 327 fois plus important qu'en 2000. D'ici 2020, le nombre de dispositifs utilisés sur Internet dépassera les 16 milliards, ce qui signifie qu'il y aura plus d'appareils mobiles qu'il y aura d'habitants sur la planète.
Les Canadiens sont particulièrement friands de ce type de technologie, puisque 81 p. 100 d'entre eux utilisent l'Internet. En moyenne, les Canadiens passent 45 heures par mois sur Internet. Vos enfants et petits-enfants y passent plus de temps, j'en suis certain; vous et moi faisons sans doute baisser la moyenne. Les ventes en ligne génèrent plus de 15 milliards de dollars au Canada. À l'échelle mondiale, le commerce en ligne a enregistré des ventes astronomiques totalisant 570 milliards de dollars.
Cette croissance explosive dans le domaine des technologies de communication n'est rien de moins que révolutionnaire; elle a néanmoins créé de nouvelles vulnérabilités par rapport aux activités malveillantes qui menacent les Canadiens et leur gouvernement. Les auteurs de menaces qui ciblent le Canada ont de plus en plus recours à l'Internet. Leur compétence en ligne varie grandement, allant du simple amateur aux organisations criminelles et aux États étrangers qui utilisent l'Internet pour mener une foule d'activités malveillantes.
Notre rôle consiste à protéger les systèmes et l'information du gouvernement contre les cybermenaces sophistiquées qui les visent. Plus particulièrement, le CSTC identifie les éventuelles cybermenaces qui pourraient cibler les systèmes du gouvernement du Canada, il aide les ministères à renforcer leurs réseaux, il surveille les cybermenaces pouvant peser sur les systèmes du gouvernement, il neutralise les menaces s'il y a lieu, et il contribue à l'atténuation de leurs répercussions, le cas échéant.
Comme dans la plupart des situations où il faut se défendre contre des attaques, on voit les adversaires améliorer ou changer continuellement leurs méthodes et les technologies qu'ils emploient. Notre défi consiste à nous tenir à la fine pointe de la technologie de façon à toujours devancer nos adversaires.
Le troisième volet de notre mandat consiste à fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de la sécurité et de l'application de la loi, aux fins de l'exercice des fonctions qui leur sont conférées par la loi. Nous leur fournissons de l'aide et des conseils en matière de technologie, ce qui peut nécessiter l'émission de mandats judiciaires.
[Français]
J'aimerais préciser que toutes les activités que je viens de décrire misent sur nos partenariats nationaux et internationaux. Les partenariats sont les plus importants pour le travail que nous faisons.
[Traduction]
Au pays, le ministère de la Défense nationale, les Forces canadiennes, le Service canadien du renseignement de sécurité, la Gendarmerie royale du Canada, les Affaires étrangères, le Bureau du Conseil privé, Sécurité publique Canada et l'Agence des services frontaliers du Canada figurent parmi les plus importants partenaires nationaux du CSTC. Comme je l'ai dit plus tôt, le CSTC collabore étroitement et régulièrement avec le ministère de la Défense nationale et les Forces canadiennes pour veiller à ce que leurs systèmes soient protégés et que leurs besoins en matière d'information soient comblés.
Sur le plan des responsabilités touchant à la cyberdéfense, nous travaillons très étroitement avec certains ministères, sous la gouverne du ministère de la Sécurité publique. Grâce à la mise en œuvre de la Stratégie de cybersécurité du Canada annoncée en 2010, il existe une véritable approche pangouvernementale en la matière. Comme mon collègue, Graham Flack, l'a expliqué la semaine dernière, Sécurité publique Canada est le principal responsable en matière de politiques et sert de principal intermédiaire entre les gouvernements, le secteur privé et le public.
Le rôle du CSTC consiste principalement en la réalisation du premier objectif de la stratégie, à savoir la sécurisation des systèmes du gouvernement. Forts de notre mandat et de nos compétences uniques, nous sommes en mesure de découvrir, de détecter et de contrer les cybermenaces qui planent sur les systèmes et les réseaux du gouvernement.
Depuis 2011, le Centre d'évaluation des cybermenaces du gouvernement du Canada (CECM-GC), reçoit des rapports faisant état de cyberactivités pouvant avoir lieu au sein des systèmes du gouvernement du Canada. Le CSTC est donc le centre opérationnel de la cyberdéfense pour le gouvernement du Canada.
Il est également important de souligner, comme l'a fait le brigadier-général Loos, que les ministères et organismes du gouvernement, par l'intermédiaire de Services partagés Canada, sont tenus responsables d'assurer la protection et la robustesse de leurs systèmes de TI. Et le CSTC est en bonne posture pour leur offrir l'expertise et les conseils dont ils ont besoin.
Le CSTC s'appuie largement sur ses homologues de la cryptologie chez ses partenaires de la collectivité des cinq, à savoir le Royaume-Uni, les États-Unis, l'Australie et la Nouvelle-Zélande.
[Français]
Nous sommes en contact permanent avec nos partenaires de la collectivité des cinq pour échanger des renseignements, surveiller les menaces communes et résoudre les difficultés en matière de technologie. Les relations avec les partenaires internationaux sont essentielles à la bonne marche des opérations du CSTC qui sont grandement favorisées par le gouvernement et nous donnent accès à des renseignements et des technologies dont le Canada ne pourrait disposer puisqu'il n'aurait pas les moyens ni matériel ni financier d'appuyer de telles capacités à lui seul. Nous estimons que les quelque 387 millions de dollars que le gouvernement investi annuellement dans l'activité du CSTC mène dans le cadre de la collectivité des cinq lui donnent accès à une infrastructure et des services dont la valeur s'élève à 15 milliards de dollars.
[Traduction]
Les besoins du gouvernement en matière d'information ne cessent de croître, tant sur le plan de la collecte que de la protection des renseignements. Il incombe au CSTC de répondre à ces besoins. Le renseignement, c'est l'affaire du CSTC. Nous continuerons donc à collecter des renseignements sur lesquels les décideurs du gouvernement pourront s'appuyer pour protéger et promouvoir les intérêts des Canadiens, tout en protégeant contre les cybermenaces l'information dont le gouvernement a la responsabilité.
[Français]
C'est la raison pour laquelle le CSTC doit continuellement perfectionner ses propres capacités s'il veut avoir les moyens de contrer les menaces et de protéger le Canada et les Canadiens.
[Traduction]
Je vous remercie de votre attention. Mme Moffa et moi serons heureux de répondre à vos questions.
La présidente : Je vais vous donner un exemple afin de voir ce dont vous êtes libre de discuter. Disons qu'un jeune cybermilitant radical âgé de 17 ans et qui habite un pays occidental arrive à s'introduire dans le système du ministère des Finances du Canada. Vos sources canadiennes et étrangères vous informent de la situation. Que se passe-t-il?
M. Forster : Le rôle du CSTC consiste à surveiller les réseaux du gouvernement. Il faut voir notre tâche en deux parties. En collaboration avec nos partenaires internationaux, nous recueillons et partageons des renseignements au sujet des menaces. Nous utilisons ensuite ces informations pour surveiller les réseaux gouvernementaux. Lorsque nous détectons des incidents, nous travaillons avec le Conseil du Trésor, qui publie des lignes directrices et des normes pour les systèmes gouvernementaux. Nous collaborons aussi avec Services partagés Canada; il nous est facile de les aider, parce qu'ils ont consolidé les activités informatiques de base de 45 ministères. Nous aidons d'autres ministères également : nous les renseignons au sujet des menaces, nous les conseillons sur la manière d'atténuer leur impact et sur la façon de remettre leurs systèmes sur pied le plus rapidement possible.
La présidente : Il est donc possible que vous soyez les premiers à détecter la menace?
M. Forster : Oui, mais ce n'est pas toujours le cas.
[Français]
Le sénateur Dallaire : Vous avez dit que le gouvernement vous donne vos priorités annuellement. Êtes-vous en mesure de me dire quelles sont les entités du gouvernement qui vous donnent ces priorités? Est-ce que ce sont ces mêmes entités qui financent vos opérations?
[Traduction]
M. Forster : Les priorités sont établies par le Cabinet, qui décide quelles seront les priorités du gouvernement en matière de renseignements. Notre financement ne provient pas du Cabinet. Nous sommes financés par l'entremise de crédits, tout comme les autres ministères du gouvernement du Canada.
Le sénateur Dallaire : Lorsque vous avez parlé du gouvernement, vous vouliez dire que c'est le Cabinet qui détermine vos priorités. Que se passe-t-il lorsque Google fait des siennes? On peut l'utiliser pour numériser tous les ouvrages épuisés, et il n'y a aucune structure en place, alors l'information peut être manipulée. Est-ce que ce genre de choses relèverait de votre compétence ou de celle de quelqu'un d'autre?
M. Forster : Je parlerai de mon domaine, c'est-à-dire la protection des systèmes et de l'information du gouvernement du Canada, quelle que soit l'origine de la menace, qu'il s'agisse d'une entité d'État, d'un groupe de pirates informatiques ou de n'importe qui d'autre. Notre mandat législatif est d'aider le gouvernement à protéger ses renseignements et les systèmes qui sont importants pour lui.
Le sénateur Dallaire : Le sénateur Wallin a dit que nous venons de promulguer une loi antiterroriste selon laquelle un Canadien qui se rend à l'étranger pour s'entraîner en vue de commettre des actes de terrorisme peut être ciblé aux termes de la loi canadienne et être soumis à toutes nos procédures. Vous avez dit que vous ne surveillez pas les Canadiens à l'étranger. Cependant, si un Canadien participait à des opérations subversives, vos collègues feraient-ils partie de vos sources de renseignements à cet égard?
M. Forster : La loi m'interdit de cibler des Canadiens n'importe où dans le monde. Je cible des étrangers, et non des Canadiens. Notre collaboration dans le cadre de la collectivité des cinq est régie par un protocole. Nous ne ciblons pas les citoyens de nos pays respectifs, quelles que soient les circonstances. Je ne ciblerais pas davantage un Américain que les États-Unis ne cibleraient un Canadien.
Le sénateur Dallaire : Merci beaucoup.
[Français]
Le sénateur Nolin : Dans son récent rapport, le vérificateur général du Canada s'est intéressé à vos mécanismes de partage avec vos partenaires canadiens.
Dans un premier temps, je voudrais savoir quels sont les mécanismes en place pour partager cette information? Ensuite, j'en viendrai au vérificateur général. Ma question concerne seulement la nature des mécanismes; je ne veux pas savoir les détails, mais plutôt comment cela fonctionne.
M. Forster : Certainement.
[Traduction]
Je vais en parler brièvement, et peut-être que Mme Moffa peut ajouter quelques détails. En se penchant sur les circonstances entourant un incident qui s'est produit au début de 2010 ou de 2011, le vérificateur général a appris que nous avions mis environ une semaine à partager l'information, et il a déterminé qu'il fallait le faire plus rapidement. Depuis ce temps, nous avons fait des progrès. Nous devons toujours nous soucier de la protection des renseignements que nous fournissons, car ce sont des renseignements hautement classifiés, très sensibles et très secrets. Nos obligations envers nos partenaires nous forcent à protéger les renseignements qu'ils nous fournissent.
Il est évident que depuis cet incident, nous partageons l'information avec le CCRIC, l'organisme de sécurité publique qui travaille avec le secteur privé et les provinces. Il y a un employé du CCRIC au Centre d'évaluation des cybermenaces du gouvernement, alors nous avons pu partager l'information plus rapidement. Il y a un réseau qui relie le Conseil du Trésor, Services partagés Canada et notre organisme pour que nous puissions communiquer l'information très rapidement aux ministères par le biais de bulletins, de courriels, et cetera.
Toni Moffa, chef adjointe, Sécurité des TI, Centre de la sécurité des télécommunications Canada : Lorsqu'un ministère a été victime d'une menace, nous commençons par communiquer avec lui rapidement par téléphone, et nous remédions à la situation. Lorsque la situation concerne d'autres ministères, nous leur rendons visite et nous leur expliquons ce qu'ils peuvent faire pour se prémunir contre les problèmes que nous voyons. Nous intervenons d'abord et avant tout auprès des victimes.
Le sénateur Nolin : Avez-vous informé le vérificateur général des mesures que vous avez prises, et en est-il satisfait?
M. Forster : Oui, nous lui avons expliqué notre rôle et les progrès réalisés depuis ce temps. Ses remarques portaient sur la façon dont cet incident en particulier s'est déroulé.
Le sénateur Nolin : A-t-il parlé d'un incident seulement?
M. Forster : Ses remarques concernaient cet incident, et nous lui avons expliqué comment nous travaillons désormais, et comment nous essayons de partager l'information.
Le sénateur Nolin : Est-il satisfait de cette réponse?
M. Forster : Il ne m'a jamais dit en personne qu'il est satisfait.
La présidente : Je crois que cela a été mentionné dans ces rapports.
M. Forster : Je ne veux pas le citer de façon erronée, mais il a fait des remarques selon lesquelles il y avait eu des améliorations à ce chapitre.
Le sénateur Nolin : Voilà qui est maintenant dit de manière officielle.
La présidente : Je crois que ses remarques portaient sur le fait d'établir clairement la différence entre vos responsabilités et celles du CSTC.
Le sénateur Lang : Je tiens à féliciter M. Forster. Avant d'occuper votre poste actuel, vous avez participé à l'élaboration et à la mise en œuvre d'un grand nombre de programmes gouvernementaux de stimulation des infrastructures dans le cadre du Plan d'action économique. Je crois que vous avez fait du très bon travail. Vous devriez accepter le mérite qui vous revient.
Il faut tenir compte de la technologie, de l'endroit où on l'achète, de l'endroit où elle est fabriquée, et des circonstances entourant son achat.
Je constate qu'on dit maintenant que pour effectuer les tâches principales associées à la création du nouveau système de courriel fédéral, il faut être citoyen canadien. Peut-on envisager de fabriquer ce type d'équipement en Amérique du Nord plutôt qu'ailleurs afin que toute notre technologie soit bien comprise, et que d'autres pays ne puissent pas nuire à son fonctionnement?
M. Forster : Ce n'est pas nécessairement une exigence. Je vais demander à Mme Moffa d'en parler.
Un de nos rôles consiste à évaluer l'équipement et les systèmes, et à donner des conseils sur la meilleure façon de les protéger à Services partagés Canada, l'organisme responsable de les acheter pour l'ensemble du gouvernement.
Mme Moffa : Nous utilisons plusieurs programmes afin d'évaluer, entre autres, les paramètres de sécurité des produits commerciaux que le gouvernement achète pour ses propres systèmes. Nous utilisons des programmes pour évaluer les produits afin de déterminer s'ils sont conformes aux allégations en matière de sécurité avant qu'ils soient déployés dans les systèmes du gouvernement. Évidemment, depuis la création de Services partagés Canada et le regroupement des services de TI du gouvernement, la sécurité est devenue un aspect encore plus important. Nous mettons tous nos œufs dans le même panier, et nous voulons nous assurer de mettre en place des mécanismes de sécurité dès le début. Avec toutes les composantes de l'infrastructure que nous voulons mettre en place en collaboration avec Services partagés Canada, nous devons accorder une attention particulière à la sécurité. C'est effectivement un aspect qui a pris une plus grande importance pour nous.
Le sénateur Lang : Si nous nous procurons une puce informatique fabriquée à l'étranger, et si nous la soumettons au processus dont vous avez parlé, comment pouvez-vous assurer aux Canadiens que l'information qui y sera stockée ne pourra pas être transmise facilement au pays où la puce a été fabriquée? Est-elle dotée d'un mécanisme qui empêche ce genre d'atteinte à la sécurité?
M. Forster : Pour le moment, nous nous concentrons sur l'équipement que le gouvernement achètera pour ses systèmes. C'est notre principale préoccupation. Notre objectif n'est pas de protéger votre ordinateur personnel, mais d'aider le gouvernement à faire en sorte que son équipement et ses réseaux soient sécuritaires et protégés.
Le sénateur Lang : Je comprends cela. J'essaie de comprendre cette guerre technologique à laquelle nous devons maintenant faire face de façon quotidienne. Désormais, lorsque nous achèterons une puce, il faudra veiller à ce qu'elle soit et demeure sécuritaire. Si elle n'est pas fabriquée en Amérique du Nord, c'est qu'elle est fabriquée ailleurs, et je ne veux pas dire n'importe où ailleurs. L'autre pays aura des renseignements sur la nature de cette puce, sur ce qu'elle contient, et sur la façon d'accéder à son contenu. Ai-je raison?
Autrement dit, si nous achetons une puce fabriquée à l'étranger, comment être certain que tous les mécanismes de sécurité nécessaires sont en place, et que d'autres pays ne peuvent pas accéder à l'information grâce à la technologie dont ils disposent?
M. Forster : Lorsque nous travaillons avec Services partagés Canada à des fins d'approvisionnement, comme c'est le cas pour les systèmes faisant l'objet d'un appel d'offres, notre responsabilité est de le conseiller et de faire en sorte que ce processus lui permette d'acheter l'équipement et les systèmes qui nous semblent entièrement dignes de confiance sur le plan de la sécurité. C'est le genre de conseils que nous lui donnons.
Nous aidons Services partagés Canada dans le cadre de ce processus d'approvisionnement. Nous avons travaillé avec l'organisme dans le cadre du processus actuellement en cours, et nous le conseillerons par rapport aux options qui lui sont offertes et à l'équipement qu'il achètera pour les systèmes du gouvernement.
Mme Moffa : Il serait peut-être utile d'ajouter que lorsque nous évaluons des produits, nous les examinons de près. Tous les produits commerciaux présentent certaines lacunes, qu'elles soient voulues ou non. Lorsque nous découvrons ces lacunes, nous essayons de trouver des façons de remédier à la situation, que ce soit en apportant des modifications aux produits ou en modifiant les configurations et les architectures de réseau afin d'atténuer certaines de ces lacunes. Il y a bien des façons de composer avec les lacunes que nous pouvons trouver dans n'importe quel produit utilisé par le gouvernement, qu'il s'agisse d'un matériel ou d'un logiciel.
Il est difficile de répondre à cette question, parce qu'il y a de nombreuses façons d'évaluer les lacunes et de les atténuer. Nos conseils sont adaptés en fonction de la place que le produit occupe dans l'architecture globale d'un système.
La présidente : Merci. Je suis consciente qu'il est difficile de répondre à cette question de façon précise, puisque dans certains cas, ce n'est pas la technologie qui est en cause, mais la façon dont les composantes sont assemblées.
Le sénateur Day : Vous avez indiqué dans votre exposé que votre budget annuel est de 387 millions de dollars par année. Est-ce exact?
M. Forster : Oui.
Le sénateur Day : Combien d'employés avez-vous?
M. Forster : Environ 2 000.
Le sénateur Day : Est-ce que la plupart d'entre eux travaillent sur place? Est-ce que vos employés travaillent au sein des ministères et des organismes gouvernementaux comme Services partagés?
M. Forster : Non, nous travaillons dans un seul établissement.
Le sénateur Day : D'accord. Pour revenir à votre commentaire sur le ciblage, vous ne ciblez pas les Canadiens à l'étranger, et tout votre travail est lié au renseignement étranger. Cependant, si vous découvriez que votre cible communiquait avec un Canadien, ou qu'une partie des communications concernait un Canadien qui n'est pas votre cible, vous n'arrêteriez pas de surveiller votre cible parce qu'un Canadien est concerné, n'est-ce pas?
M. Forster : Je peux peut-être expliquer un peu comment cela fonctionne. Parmi les modifications apportées par la Loi antiterroriste de 2001 que vous examiniez, il y avait des modifications à la Loi sur la défense nationale concernant notre mandat. Ces modifications tenaient compte des changements qui se sont produits par rapport à autrefois. Par exemple, lors de la guerre froide, on pouvait avoir une seule cible, et on surveillait les communications entre deux personnes. Maintenant, nous sommes à l'ère d'Internet, où il faut composer avec un grand volume d'information.
Lorsque nous voulions obtenir des renseignements sur une cible étrangère, et que nous interceptions par inadvertance une communication avec un Canadien, la loi nous obligeait à obtenir une autorisation ministérielle, et nous devions quand même protéger la vie privée de cette personne. L'interception des renseignements doit respecter les quatre conditions suivantes : l'interception vise des entités étrangères; les renseignements ne peuvent raisonnablement être obtenus d'une autre manière; la valeur des renseignements étrangers justifie l'interception; il existe des mesures pour protéger la vie privée. Nous suivons des procédures détaillées pour protéger la confidentialité des renseignements, et ces procédures font l'objet d'un examen par le commissaire.
Le sénateur Day : Merci. L'utilisation du terme « renseignement » implique une certaine analyse du renseignement et des communications que vous avez interceptés. Existe-il des situations où vous pourriez communiquer directement un renseignement à nos partenaires étrangers ou à d'autres ministères sans devoir l'analyser ou est-ce que tous les renseignements que vous communiquez doivent faire l'objet d'une analyse?
M. Forster : Nous recueillons des renseignements, puis nous les fournissons aux ministères fédéraux, qui les utilisent ensuite pour prendre leurs décisions et élaborer leurs politiques. Il y a deux organismes gouvernementaux qui procèdent à l'évaluation du renseignement. Il y a le Secrétariat de l'évaluation du renseignement du Bureau du Conseil privé, puis il y a le CIET du SCRS, qui examine des renseignements pouvant provenir de diverses sources, à savoir des sources humaines ou des sources électroniques, dans le cas qui nous occupe.
Le sénateur Day : Y aurait-il des situations où vous transmettriez directement un renseignement ou des outils de communications que vous avez mis au point à une compagnie canadienne? Par exemple, si vous appreniez qu'il y a eu un détournement et un vol de propriété intellectuelle ou si vous avez des renseignements à communiquer sur une offre publique d'achat qui seraient utiles à cette compagnie.
M. Forster : Nous fournissons généralement des renseignements aux ministères. Si une compagnie canadienne était menacée, nous travaillerions avec le SCRS et la GRC.
Le sénateur Day : Est-ce que je devrais déduire quelque chose de votre utilisation du terme « généralement »?
M. Forster : Non, je ne voulais rien dire par cela. Nous travaillerions avec nos organismes nationaux — la GRC et le SCRS — qui s'occupent des menaces à l'échelle nationale.
Le sénateur Day : Merci.
M. Forster : Cela étant dit, j'aimerais préciser que, pour ce qui est des conseils et des renseignements relatifs aux menaces générales qu'il faut fournir aux compagnies du secteur privé, nous travaillons dans les conseils sectoriels dont M. Flack a parlé la semaine dernière afin de les aider à comprendre les cybermenaces et les mesures qui doivent être prises.
Le sénateur Day : Ce pourrait être des renseignements qu'une compagnie ne voudrait pas partager avec tous ses concurrents au conseil, mais qui sont quand même très importants; des renseignements qui ont leurs propres fins.
M. Forster : Comme je l'ai dit, nous fournirions des renseignements à la GRC en cas d'activités criminelles ou au SCRS en cas de menace à la sécurité nationale.
Le sénateur Day : Merci.
La présidente : Est-ce de cette façon que vous allez vous attaquer à des criminels canadiens? Est-ce que vos règles vous empêchent de vous attaquer directement au problème? Est-ce que vous ne feriez que fournir ces renseignements à d'autres?
M. Forster : Nous partagerions les renseignements. Nous protégerions la vie privée des Canadiens. Si, dans le cadre de leur mandat légal, les organismes fédéraux nous demandent un accès à ces renseignements, nous pourrons accéder à leur demande.
La présidente : Merci de cette explication claire.
Le sénateur Johnson : Merci de votre intervention. Je crois qu'elle fournissait beaucoup de détails, surtout sur le fait que les Canadiens passent deux jours par semaine à naviguer sur Internet.
Vous avez précisé trois choses sur votre mandat. Je veux en savoir plus sur le renseignement électromagnétique étranger que vous recueillez conformément aux priorités du gouvernement en matière de renseignement. Premièrement, pouvez-vous nous dire ce que vous cherchez quand vous analysez les signaux étrangers et ce que vous faites avec ce que vous trouvez? Deuxièmement, est-ce que la portée de votre mandat est aussi grande que celle de l'agence de la sécurité nationale américaine?
M. Forster : Pour ce qui est de notre fonctionnement, comme je l'ai dit, le gouvernement établit les priorités de notre mandat. Si c'est le contre-terrorisme ou la cybersécurité, notre rôle consiste à fournir des renseignements au gouvernement pour l'aider à régler ce problème. Comme je l'ai déjà dit, nous recueillons les renseignements, puis nous les fournissons à d'autres ministères pour les aider à prendre des décisions et des mesures, entre autres.
Chacun des partenaires des Five Eyes a un mandat différent, mais nous travaillons en étroite collaboration. Nous avons des structures différentes. Certains d'entre nous sont dans des organismes différents. Je ne voudrais donc pas établir de comparaisons entre eux.
Notre mandat est celui que j'ai défini ici.
Le sénateur Johnson : Chez les alliés du Canada, et plus particulièrement les États-Unis, il est beaucoup question du passage d'une défense passive des réseaux informatiques à une défense active. Pourriez-vous parler de votre interprétation de la défense active des réseaux et des problèmes qu'elle pose au CSTC?
M. Forster : Comme je l'ai dit, il est clair en examinant notre mandat et la loi qui nous régit que nous sommes un organisme de renseignement. Notre mandat consiste à recueillir des renseignements étrangers et à empêcher les gens d'infiltrer les réseaux du gouvernement du Canada. Je ne perçois pas mon mandat comme un mandat de défense contre les attaques. Mon travail consiste à trouver des moyens de protéger les réseaux, que ce soit en vérifiant leur équipement ou en vérifiant les diverses menaces auxquelles ils sont exposés, puis en aidant les ministères à atténuer les menaces, ainsi qu'à corriger et à réparer ces systèmes. Je n'ai pas de mandat offensif, si je peux m'exprimer ainsi.
Le sénateur Johnson : À quel rang le Canada se classe-t-il dans ce domaine par rapport aux autres pays? Sommes-nous au premier rang?
M. Forster : Le Canada est plus petit que les États-Unis et le Royaume-Uni. Nos organismes, notamment le CSTC, sont donc eux aussi plus petits que ceux de ces deux pays. J'aimerais croire que personne ne surpasse notre organisme et que nous avons certaines capacités et technologies qui sont imbattables dans le monde. Cependant, il est difficile d'évaluer notre organisme par rapport à ceux de nos plus grands partenaires.
Le sénateur Johnson : Je comprends. Dans quoi excellons-nous?
M. Forster : Je dois dire que je travaille seulement dans cette organisation depuis neuf mois, mais ces personnes m'époustouflent. Je crois qu'elles font partie des personnes les plus brillantes, pas seulement au gouvernement, mais dans tout le pays. Elles utilisent des technologies de pointe au sein du gouvernement. C'est une organisation remarquable formée de gens exceptionnels.
Le sénateur Johnson : C'est bon à savoir. Merci.
La présidente : La semaine dernière, des représentants du CCRIC ont dit que le recrutement dans ce secteur était difficile. C'est un secteur encore nouveau. Vous voulez des employés remarquables qui vous couperont le souffle, mais nous sommes encore en train de les former. Est-ce que le bassin de recrutement est assez grand?
M. Forster : Dans l'ensemble, je dirais que nous nous débrouillons bien. Le recrutement est certainement un problème pour tous les organismes, qu'ils soient au Royaume-Uni, aux États-Unis, en Australie ou au Canada. Nous voulons recruter les personnes les plus brillantes et celles qui possèdent les meilleures compétences technologiques possibles. Nous faisons concurrence à des compagnies comme Google et Facebook, qui pourraient être en mesure d'offrir un peu plus à leurs employés que le gouvernement du Canada.
La présidente : C'est ce que vous pensez?
M. Forster : Elles offrent peut-être quelques meilleurs avantages, mais nous offrons nous aussi des avantages assez uniques. Beaucoup d'employés du CSTC restent là-bas parce qu'ils font le travail le plus intéressant au Canada.
La présidente : Pour revenir à la question du sénateur Johnson, vous êtes les principaux responsables de l'élaboration de stratégies d'atténuation. Vous ne livrez pas de cyberguerre, mais vous élaborer une stratégie pangouvernementale plutôt que des stratégies distinctes pour chaque ministère. Vous êtes des experts en matière de stratégie d'atténuation.
M. Forster : Je crois que le brigadier-général Loos en a parlé dans son intervention. Vous devez penser à la cybersécurité comme un sport d'équipe où chacun a ses responsabilités. Le ministère de la Sécurité publique est le principal responsable en matière de politiques. Nous jouons un rôle de premier plan dans la protection des systèmes gouvernementaux. Cela ne veut pas dire que les autres ministères n'ont pas leur rôle à jouer à cet égard — pas du tout. Chaque ministère a la responsabilité de protéger ses réseaux. Sur notre site web, nous avons énuméré les 35 étapes de base à suivre. Si les citoyens canadiens et les entreprises suivaient juste cinq ou 10 de ces étapes, ils observeraient déjà une diminution de 20 p. 100 de leurs problèmes de réseau. Tout comme le secteur privé et les provinces, nous avons la responsabilité de protéger nos renseignements et nos systèmes.
Dans la stratégie gouvernementale, on souligne que ce n'est pas un problème qui découle du gouvernement canadien, mais du Canada lui-même. Vous devez faire preuve de leadership et de coordination pour veiller à ce que toutes les personnes assument leurs responsabilités à cet égard.
Le sénateur Day : Ma question porte sur la remarque que vous avez faite plus tôt sur votre rôle dans l'équipe. Le CSTC faisait partie de la Défense nationale, et il relève encore de ce ministère. Cependant, il est maintenant devenu un organisme autonome. Pour quelle raison le CSTC est-il devenu un organisme autonome et distinct? Est-ce que cela avait un rapport avec votre relation avec le reste des ministères du gouvernement canadien?
M. Forster : En ce qui concerne l'histoire de l'organisme, il a été créé en 1946. Il occupait un petit coin sombre dans les locaux du Conseil national de recherches avant de déménager dans ceux du ministère de la Défense nationale dans les années 1970. Il a toujours joué un rôle essentiel dans les forces en les aidant à protéger leurs communications et leurs renseignements.
Il y a deux raisons pour cette décision. Premièrement, l'organisme a un mandat plus large au sein du gouvernement, mais il a encore un mandat auprès des Forces canadiennes et du ministère de la Défense nationale. Deuxièmement, compte tenu de l'importance croissante de la cybersécurité, il était logique de créer un organisme autonome et distinct. Nous devons travailler avec divers ministères : le Conseil du Trésor, Services Partagés et le SCRS. Nous faisons beaucoup de travail auprès du service. Nous avons tout un travail à faire avec de nombreux ministères.
Le sénateur Day : Est-ce que le fait d'être un organisme distinct facilite votre travail avec les autres ministères?
M. Forster : Je pense que cette décision a seulement été prise pour reconnaître notre plus large mandat et le fait que la taille de notre organisme avait beaucoup augmenté.
Le sénateur Manning : Vous avez mentionné nos partenaires des Five Eyes, à savoir le Royaume-Uni, les États-Unis, l'Australie et la Nouvelle-Zélande. Ces pays sont certainement nos alliés. Au début de votre intervention, vous avez parlé de l'importance de ce partenariat parce qu'il serait financièrement impossible pour le Canada de développer ces capacités tout seul. Comment ce partenariat est-il né? Est-ce que des efforts sont déployés pour inclure d'autres pays dans le partenariat afin de pouvoir se pencher sur l'aspect financier des renseignements recueillis? Vous pouvez peut-être nous expliquer comment cela fonctionne.
M. Forster : Le partenariat des Five Eyes a été créé pendant la Seconde Guerre mondiale. Il y avait une collaboration très étroite dans ce domaine, surtout entre le Royaume-Uni et les États-Unis. Après la guerre, l'Australie, la Nouvelle-Zélande et le Canada, en tant que membres du Commonwealth, ont adhéré au partenariat.
C'est un partenariat très étroit. Cela ne signifie pas que nous ne travaillons pas avec d'autres pays ou que les autres pays ne collaborent pas entre eux. C'est juste que les Five Eyes, en particulier, ont une collaboration très étroite en ce qui a trait à l'échange de renseignements sur les menaces existantes. Un des avantages de ce partenariat de cybersécurité est que nous échangeons des renseignements avec quatre autres pays sur les menaces et les autres choses que nous observons dans l'infrastructure mondiale d'information, ce qui ne veut pas dire que nous ne travaillons pas avec d'autres pays lorsque le besoin s'en fait sentir.
Le sénateur Manning : Ce qui nous mène à ma deuxième question. Quand vous agissez hors du partenariat des Five Eyes, comment décidez-vous ou déterminez-vous à qui vous pouvez faire confiance lorsque vous communiquez des renseignements? Avez-vous des critères? Comment prenez-vous cette décision?
M. Forster : La décision est prise en fonction des besoins prioritaires du gouvernement en ce qui a trait aux renseignements et des moyens que nous pouvons prendre pour répondre à ces besoins. S'il est logique de collaborer avec un autre pays sur un aspect précis pour répondre aux besoins prioritaires du gouvernement, alors on peut agir ainsi, mais il n'y a pas de formule exacte et il faut qu'il y ait intérêt mutuel.
Le sénateur Manning : Lorsque vous recueillez des renseignements sur les menaces contre vos réseaux, par exemple, vous savez parfois combien d'attaques ont été faites contre le réseau de sécurité un jour donné. Cette information est-elle publique? Combien d'attaques sont faites chaque jour contre les réseaux canadiens?
M. Forster : Nous ne rendons pas cette information publique. Nous surveillons les réseaux du gouvernement, pas ceux du pays au complet.
Le sénateur Lang : J'aimerais poser une question complémentaire. Pourquoi ne pas rendre cette information publique afin que les Canadiens soient au courant de ces attaques et qu'ils sachent à quel point elles sont sérieuses? Nous devrions suivre les 35 étapes que vous avez décrites plus tôt.
M. Forster : Les 35 étapes sont publiques. Nous en faisons la promotion, tout comme le ministère de la Sécurité publique.
Nous surveillons les systèmes du gouvernement du Canada, pas ceux du pays en entier. Nous n'avons pas cette capacité. Cela ne fait pas partie de notre mandat.
Le sénateur Lang : Qui le fait?
Mme Moffa : Des entreprises produisent des rapports annuels sur les statistiques globales, comme Symantec, McAfee et d'autres. Ces entreprises sont bien renseignées sur les menaces connues.
La présidente : Le sénateur Lang soulève un bon point. Le ministère de la Défense doit toujours tenir compte — et c'est une question de sécurité — de la responsabilité de renseigner les gens, voire de les pousser à agir, lorsqu'on publie des données qui font état de notre utilisation quotidienne de cet équipement et de notre vulnérabilité à cet égard, et de l'importance de ne pas leur dire ce que nous savons, ou, plus important encore, de leur dire ce que nous ne savons pas. Il faut constamment tenir compte de ces éléments. Lequel est le plus problématique?
M. Forster : Comme Mme Moffa l'a souligné, certaines de ces entreprises de sécurité publient des données générales sur les activités de ce genre. Par exemple, McAfee estime qu'il y a 75 millions de logiciels malveillants différents qui flottent dans Internet et que les réseaux zombies créent quelque 89,5 milliards de courriels non sollicités chaque jour. Certaines de ces entreprises publient des données là-dessus. Nous ne surveillons pas l'utilisation d'Internet au Canada, mais bien les systèmes du gouvernement fédéral.
Le sénateur Manning : À votre avis, quel est le principal défi pour le cyberespace et le CSTC aujourd'hui?
M. Forster : Je crois que le plus grand défi pour nous tous dans le cyberespace est de maintenir nos compétences et nos capacités à jour et d'investir dans la technologie dont nous avons besoin pour garder l'avance sur ceux qui veulent infiltrer nos systèmes gouvernementaux. C'est ce que nous nous efforçons de faire de manière constante.
Il faut aussi comprendre qu'il ne s'agit pas d'un espace statique. Ce qu'on voit aujourd'hui aurait été impensable il y a cinq ans. Les capacités sont de plus en plus poussées. La technologie aussi. Il faut constamment améliorer et actualiser ses capacités et ses technologies pour continuer de tenir le haut du pavé.
Le sénateur Dallaire : Vous recueillez des renseignements et les communiquez aux agences canadiennes afin qu'elles prennent des mesures. À titre indicatif, combien de militaires travaillent actuellement au CSTC, environ?
M. Forster : Le brigadier-général Mazzolin vient de dire qu'il y a environ 28 militaires qui travaillent au CSTC. Nous collaborons étroitement avec le CORFC, entre autres.
Le sénateur Dallaire : Vous menez toujours vos activités aux termes de la Loi sur la défense nationale, est-ce exact?
M. Forster : Oui.
Le sénateur Dallaire : Pourquoi n'êtes-vous pas assujetti à la Loi sur le Service canadien du renseignement de sécurité, en tant que division — si vous permettez que j'utilise ce terme — du SCRS au lieu du ministère de la Défense nationale?
M. Forster : Le gouvernement a décidé que nous ne serions pas une division du ministère de la Défense nationale, mais bien une agence indépendante, un peu comme le SCRS. Notre mandat est distinct et nous avons des partenariats, avant tout avec l'armée, mais aussi avec d'autres ministères.
Le sénateur Dallaire : C'est parce que la guerre dans le cyberespace touche de plus en plus d'aspects différents; c'est la guerre totale. Sentez-vous que vos capacités sont limitées ou que vous couvrez tout l'éventail de menaces possibles contre un pays?
M. Forster : Nous ne sommes pas une agence militaire; nous sommes une agence de renseignement. Nous collaborons avec le brigadier-général Mazzolin et le brigadier-général Loos et nous les appuyons dans leur examen des capacités militaires dans le cyberespace. Est-ce que je me sens limité par le fait d'être inclus dans le portefeuille de la Défense? Pas du tout.
Le sénateur Lang : J'aimerais laisser de côté le ministère de la Défense et aborder la question de la responsabilité envers le secteur privé et de ses responsabilités à l'égard des technologies qu'il utilise. Quel est le rôle de ces organisations? Je pense principalement aux institutions financières et à leur vulnérabilité relativement aux changements qu'elles doivent apporter pour protéger nos systèmes financiers, pour éviter une situation qui pourrait facilement se produire si elles ne prennent pas les mêmes mesures que le gouvernement. Le gouvernement intègre et réduit ses systèmes de données et les chevauchements de réseaux. Est-ce que le secteur privé applique aussi ces recommandations? Prenez-vous part à ces activités?
M. Forster : Je vais laisser Mme Moffa répondre. Je répète que nous collaborons avec le ministère de la Sécurité publique. Il y a un comité au sein du secteur des services financiers qui travaille avec le ministère pour fournir cette information. Mme Moffa pourra vous en dire plus à ce sujet.
L'intégration des systèmes à Services partagés Canada facilite énormément notre travail.
Le sénateur Lang : Et nous rend moins vulnérables.
M. Forster : Exactement. Je vais reprendre l'analogie de Mme Moffa, alors c'est à elle que le crédit revient. Qu'est-ce qui est le plus facile à protéger : une maison à six fenêtres, ou 60 maisons, certaines avec des barreaux et d'autres sans, et certaines avec des portes verrouillées et d'autres sans? C'est plus facile pour nous. Lorsque nous détectons quelque chose et que nous devons intervenir rapidement pour protéger des systèmes, nous pouvons traiter avec Services partagés, qui couvrent 45 ministères. C'est une façon efficace et efficiente de protéger nos systèmes.
Mme Moffa : Nous communiquons avec le secteur privé, c'est sûr. Par l'entremise de la Sécurité publique, nous partageons avec les organisations du privé les renseignements sur les cybermenaces afin qu'elles soient aussi bien informées que nous. Nous pouvons détenir certains renseignements particuliers qui leur permettent de mieux se protéger. Il est à souhaiter que cela aura une incidence sur leurs décisions relatives à la sécurité de leurs propres systèmes.
De plus, tous les conseils que nous fournissons au gouvernement en matière de TI en général se trouvent sur notre site Web. On y trouve des guides exhaustifs et des normes techniques que tous peuvent utiliser.
Le sénateur Lang : J'aimerais aborder la question des provinces. Les gouvernements provinciaux peuvent-ils s'intégrer au système fédéral — votre système de TI — et intégrer leurs systèmes pour suivre la direction prise par le fédéral?
M. Forster : Évidemment, les provinces gèrent leurs propres systèmes. Sécurité publique a la responsabilité de travailler avec elles. Je sais que certaines provinces s'en vont dans cette direction. Tout le monde suit cette tendance, non seulement pour réduire les coûts, mais aussi pour rendre les systèmes plus efficaces. L'avantage pour nous, c'est que cela nous facilite la tâche.
La présidente : Merci. Nous avons entendu des témoignages qui portaient là-dessus la semaine dernière.
Je remercie encore une fois John Forster, chef, Centre de la sécurité des télécommunications Canada, et Toni Moffa, chef adjointe, Sécurité des TI.
Voilà qui met fin à la séance d'aujourd'hui du Comité sénatorial permanent de la sécurité nationale et de la défense. À la semaine prochaine tout le monde.
(La séance est levée.)