Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule n° 27 - Témoignages du 26 octobre 2017
OTTAWA, le jeudi 26 octobre 2017
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 10 h 35, en séance publique, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, puis à huis clos pour étudier un projet d’ordre du jour (travaux futurs).
Le sénateur David Tkachuk (président) occupe le fauteuil.
[Traduction]
Le président : Bienvenue à nos invités et aux membres du public qui suivent les travaux du Comité sénatorial permanent des banques et du commerce, ici même, ou via le Web.
Je suis David Tkachuk, président du comité. Nous en sommes à notre quatrième réunion pour l’étude des questions et préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les cybermenaces au secteur financier et commercial du Canada. Dans la deuxième partie de notre réunion, nous aurons un bref huis clos pour discuter des affaires à venir.
Je suis heureux d’accueillir les porte-parole de l’Association des banquiers canadiens, Darren Hannah, vice-président, Finances, risques et politique prudentielle; Andrew Ross, directeur, Paiements et cybersécurité; et Sandy Stephens, avocate-conseil adjointe. Merci d’être là. Votre déclaration initiale sera suivie, comme d’habitude, d’une période de questions et réponses. Veuillez commencer.
Andrew Ross, directeur, Paiements et cybersécurité, Association des banquiers canadiens : Bonjour. J’aimerais commencer par remercier les membres du comité pour cette occasion de vous parler aujourd’hui de cybersécurité et de fraude cybernétique. Les auditions du comité tombent à point, vu qu’octobre est le Mois de la sensibilisation à la cybersécurité.
L’ABC est la voix de plus de 60 banques canadiennes et étrangères qui contribuent à l’essor et à la prospérité économique du pays. L’ABC préconise l’adoption de politiques publiques favorisant le maintien d’un système bancaire solide et dynamique, capable d’aider les Canadiens à atteindre leurs objectifs financiers.
Les banques au Canada sont des chefs de file de la cybersécurité. Elles ont lourdement investi dans les mesures de protection du système financier et des renseignements personnels de leurs clients contre les menaces cybernétiques. Malgré le nombre croissant de tentatives, les banques affichent un excellent bilan en matière de protection de leurs systèmes contre les cybermenaces. En effet, elles prennent au sérieux la confiance que les Canadiens leur accordent pour garder en sécurité leurs dépôts ainsi que leurs renseignements personnels et financiers.
Par ailleurs, les Canadiens s’attendent à plus de simplicité dans l’obtention de services financiers. Les banques ont fait de grands investissements en vue d’assurer à leurs clients des modes d’accès et d’utilisation plus rapides et plus pratiques lorsqu’il s’agit de services bancaires. Les consommateurs peuvent accéder aux services bancaires pratiquement n’importe quand et de n’importe où dans le monde, grâce aux services bancaires en ligne et aux applications bancaires mobiles qui leur donnent un accès en temps réel à leurs renseignements financiers. Aujourd’hui au Canada, 72 p. 100 des consommateurs utilisent principalement les services bancaires en ligne et sur leurs appareils mobiles. Une hausse par rapport aux 52 p. 100 il y a tout juste quatre ans.
Avec l’augmentation d’opérations bancaires, et autres, effectuées électroniquement, les réseaux et les systèmes deviennent de plus en plus interconnectés. Ainsi, les banques, le gouvernement et d’autres secteurs doivent collaborer pour veiller à ce que le cadre de la cybersécurité au Canada soit solide et capable de s’adapter à l’économie numérique.
Sécurité publique Canada, comme vous le savez bien, a déjà entamé un processus d’examen de la stratégie canadienne en matière de cybersécurité. L’ABC participe activement aux consultations dans le cadre de ce processus. Nous désirons présenter au comité plusieurs des recommandations que nous avons ainsi soumises au gouvernement.
Pour que le cadre de la cybersécurité au Canada soit efficace, un seul organisme fédéral devra assumer la responsabilité des cybermenaces. Dans le paysage actuel de la cybersécurité, divers ministères et organismes fédéraux supervisent différents secteurs des infrastructures essentielles. II est possible d’intégrer, dans un seul organisme fédéral, toutes les activités cybernétiques gouvernementales à travers ces secteurs. Ainsi, la résilience cybernétique du Canada sera raffermie grâce au développement de normes communes, à la coordination améliorée du partage des renseignements entre les divers secteurs et avec les forces de l’ordre, et à la présence d’un seul point d’interaction pour que les consommateurs et les entreprises puissent signaler les incidents et les crimes cybernétiques.
La prestation des services financiers dépend d’autres secteurs, comme les télécommunications et l’électricité. Il faut que les Canadiens soient rassurés du fait que tous les secteurs des infrastructures essentielles les protègent contre les cybermenaces. À cette fin, nous encourageons le gouvernement à établir un ensemble uniforme de normes et de règles qui s’appliquent à tous les secteurs des infrastructures essentielles. Des normes uniformes permettront une supervision plus rigoureuse et rassureront ceux qui utilisent ces services et en dépendent.
Le secteur des télécommunications est le canal de diffusion des données électroniques. L’identification et le blocage du trafic malveillant, et le partage de ces renseignements avec tous les secteurs d’activité seront à l’avantage des consommateurs et des entreprises, dont les banques. Une fois qu’une cybermenace est identifiée, autoriser les fournisseurs de services de télécommunications à bloquer le trafic malveillant ainsi repéré contribuera à arrêter la transmission ultérieure de mauvaises données. Le blocage des données malveillantes réduira considérablement le volume des courriels malicieux qui visent les destinataires vulnérables, comme les consommateurs et les petites entreprises. Ce blocage contribuera également à limiter la propagation de virus, de réseaux zombies et d’autres formes de maliciels lancés contre les organisations et les gouvernements. II nous semble que des changements législatifs sont de mise pour permettre aux fournisseurs de services de télécommunications de bloquer le trafic malveillant de façon proactive. Nous encourageons le gouvernement à examiner les options législatives pour y arriver.
En outre, les banques et autres entreprises canadiennes comptent parmi les clients des sociétés de télécommunications. Donner aux sociétés de télécommunications les moyens de partager les renseignements au sujet des menaces avec les clients adéquats permettra à ces derniers d’améliorer leur résilience cybernétique. L’inverse est également vrai. Le secteur financier a massivement investi dans de grandes capacités de résilience cybernétique afin de pouvoir identifier les données malveillantes sur ses systèmes. Partager ces renseignements avec les sociétés de télécommunications — et les autoriser à bloquer les terminaux malveillants — contribuera à arrêter la propagation du flux à d’autres entreprises et aux consommateurs. Par conséquent, tout changement législatif devra permettre ce partage de renseignements bidirectionnel.
Les bénéfices du partage des renseignements sur les cybermenaces s’étendent à d’autres secteurs que les finances et les télécommunications, au gouvernement et aux forces de l’ordre. Le partage rapide des renseignements au sujet des cybermenaces est un moyen hautement efficace pour minimiser l’impact des cyberattaques. II est nécessaire de mettre en œuvre de meilleurs protocoles de communication et une intégration des contrôles afin d’arriver à un partage opportun de renseignements entre le secteur privé et les organismes gouvernementaux. Nous appuyons les initiatives comme l’Échange canadien de menaces cybernétiques, qui encourage l’échange de renseignements sur la cybersécurité et les pratiques exemplaires entre le gouvernement et les entreprises.
Nous encourageons certes un plus grand échange de renseignements, mais nous sommes conscients du fait que la sécurité et la confidentialité vont de pair. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) assure l’équilibre entre les droits à la confidentialité des particuliers et le besoin des organisations de recueillir, d’utiliser et de communiquer les renseignements personnels dans le cadre de leurs activités. Toutefois, de récentes modifications à la LPRPDE entravent la capacité des organisations de communiquer des renseignements personnels en vue de détecter, de prévenir et de neutraliser la cybercriminalité. Les banques appuient pleinement la LPRPDE et s’y conforment. Néanmoins, un mécanisme de partage de renseignements sur les cybercriminels est essentiel pour améliorer la résilience cybernétique du Canada.
Tout comme les initiatives axées sur le rehaussement du niveau de littératie financière, nous recommandons l’élaboration d’un programme national de littératie cybernétique. Puisque les cybercriminels s’attaquent souvent à des citoyens ordinaires, la sensibilisation à la cybersécurité devient essentielle pour réduire le nombre de victimes. Un programme national de littératie cybernétique, destiné à l’éducation et à la protection des consommateurs, contribuera à traiter les menaces actuelles et à venir.
De nos jours, il existe un manque général de personnel dans le domaine de la cybersécurité, d’où l’importance de produire un bassin de talents pour répondre à la demande présente et future. Constituer un bassin de talents au Canada passe, entre autres, par de meilleurs programmes éducatifs pour une carrière en cybersécurité, la formation du personnel actuel, des pratiques avérées de gestion du développement des carrières, ainsi qu’une pollinisation croisée créative avec des disciplines en forte demande et étroitement liées à la cybersécurité. Nous sommes d’avis que le Canada est en mesure de tirer profit de notre excellent système d’éducation et de recycler notre main-d’œuvre hautement qualifiée afin de combler cette lacune.
Alors que le secteur financier est le terrain d’importants changements provoqués par la technologie, les nouveaux acteurs arrivent à livrer les services financiers de façon numérique, attisant la concurrence. Évidemment, une plus grande concurrence a des effets positifs sur le marché, car elle stimule l’innovation et élargit le choix offert aux consommateurs. Tout au long de ce processus de changement, veiller à la préservation de la sécurité et de la confidentialité des consommateurs, ainsi qu’à la sécurité, à la robustesse et à la stabilité du système financier canadien dans son ensemble, demeure primordial.
La plupart des nouvelles entreprises de technologie financière sont moins réglementées que les institutions financières établies, et nombreuses d’entre elles ne le sont pratiquement pas. II est donc difficile d’évaluer la résilience cybernétique de ces entreprises. Certaines pourraient certes avoir les mêmes contrôles des risques que les banques. Or, la plupart n’ont pas la même vaste expérience en matière de défense et de protection des données dans l’environnement de menaces numériques en rapide évolution. En outre, le fait que les services financiers soient connectés signifie que ce nombre croissant de participants sur le marché a le potentiel d’être un contaminant cybernétique pour le secteur. Pour cette raison, la résilience cybernétique doit être au centre des considérations des législateurs qui tracent l’avenir du cadre législatif en matière de services financiers.
En conclusion, je souligne de nouveau que la cybersécurité est une priorité pour les banques au Canada. Les banques continuent à collaborer et à investir dans l’objectif de protéger les renseignements personnels et financiers des consommateurs. Également, elles appuient le travail du gouvernement dans la protection des Canadiens tout en encourageant l’innovation et la concurrence. Ceci dit, le secteur bancaire est conscient de l’évolution perpétuelle des menaces et des défis, et désire collaborer davantage avec le gouvernement et avec les autres secteurs. À cette fin, nous encourageons le gouvernement fédéral à mettre au point et à implanter sa nouvelle stratégie en matière de cybersécurité, qui vise à protéger les Canadiens et à améliorer la résilience cybernétique du Canada.
Je vous remercie du temps que vous nous avez accordé et je serai heureux de répondre à vos questions.
Le président : Merci. Nous allons passer aux questions.
[Français]
Le sénateur Boisvenu : Bienvenue à nos invités. Merci de votre excellent exposé, monsieur Ross. J’ai quelques questions à vous poser. D’abord, avez-vous fait un inventaire ou une recherche sur la provenance des cyberattaques qui touchent le milieu financier au Canada? Est-ce que certaines de ces attaques sont liées à des organismes terroristes?
[Traduction]
M. Ross : On peut dire sans trop risquer de se tromper qu’il est bien souvent possible de remonter aux origines, mais il faut aussi reconnaître que c’est un phénomène mondial, qui ne connaît pas de frontières. Nous avons beau avoir une partie de cette information, l’examen des États-nations ou des secteurs ou pays particuliers ne permet pas nécessairement de dégager l’ensemble du tableau de la résilience du pays.
[Français]
Le sénateur Boisvenu : Il y a deux composantes dans le domaine financier : les administrateurs de portefeuille et les épargnants. Est-ce que, actuellement, ces cyberattaques mettent à risque les épargnants comme tels? S’il n’y a pas d’épargnants dans le domaine financier, il n’y a pas de système qui se tient. Est-ce que la barrière de sécurité entre les administrateurs et les épargnants est relativement sécuritaire ou y a-t-il des risques pour les épargnants?
[Traduction]
M. Ross : Tout d’abord, je peux vous assurer que les banques attachent une importance cruciale à la cybersécurité. La confiance est primordiale dans tout ce qu’elles font. Les banques ont investi gros dans la résilience cybernétique de leurs systèmes.
Pour répondre directement à votre question, disons que l’argent des Canadiens est en sécurité dans les banques canadiennes.
[Français]
Le sénateur Boisvenu : En lisant votre mémoire, monsieur Ross, j’ai eu l’impression que le système canadien est relativement en retard quant à la gestion de la sécurité cybernétique. Est-ce un phénomène mondial ou est-ce que le Canada, en ce qui a trait à la situation actuelle, est en retard sur d’autres pays?
[Traduction]
M. Ross : Vous reconnaissez que le phénomène est mondial. On peut aussi dire sans risquer de se tromper que la menace n’a pas fini d’évoluer. Le Canada et les autres pays doivent évoluer avec elle.
Il est juste de dire que d’autres pays ont révisé leurs stratégies et commencé à mettre en œuvre leurs nouvelles stratégies. C’est pourquoi nous pressons le gouvernement canadien à agir rapidement pour mettre en œuvre la stratégie envisagée aujourd’hui.
La sénatrice Moncion : J’ai quelques questions, mais elles sont toutes reliées. En premier lieu, expliquez comment vous collaborez avec les autres institutions financières pour freiner la propagation des attaques. Combien d’attaques avez-vous par jour? Quelles sont les pertes subies d’une année à l’autre? Qu’est-il arrivé au fil des ans? Parce que je pense que c’est parti de très haut et que cela diminue. Et quelle incidence l’attaque sur Equifax a-t-elle sur vos membres?
M. Ross : Tout d’abord, pour ce qui est de la collaboration, les banques au Canada collaborent très étroitement entre elles et avec d’autres secteurs, dont les forces de l’ordre et le gouvernement. Les banques participent à des activités comme l’échange des cybermenaces et le CCRIC. Nous avons d’excellents rapports avec les forces de l’ordre et d’autres organismes. Dans cette optique, je pense — et vous avez dû l’entendre dans vos audiences — que le secteur financier assume une position de tête dans la cybersécurité.
Au niveau des chiffres et des données, je dirais que le Canada continue de protéger les avoirs des Canadiens, même si l’actualité ne s’intéresse toujours qu’aux mauvaises nouvelles. On ne se trompe pas en disant que l’économie numérique a ouvert d’immenses perspectives, de sorte que nous n’avons jamais vu autant de volume transiter par les canaux numériques. Nous devons garder à l’esprit non seulement les chiffres bruts, mais aussi la façon dont ils reflètent les occasions qui se sont présentées.
Sandy Stephens, avocate-conseil adjointe, Association des banquiers canadiens : Certes, les banques veulent atténuer le préjudice qui pourrait menacer leurs clients, ce pour quoi elles collaborent avec des tierces parties. Dans ce cas-ci, les réseaux ont fourni des numéros de carte de crédit aux banques, qui les surveilleront dans toute transaction inusitée. Si elles constatent une activité qui sort de l’ordinaire, elles prendront les mesures qui s’imposent, notamment en avisant leurs clients.
La sénatrice Moncion : Quelle a été l’influence d’Equifax sur vos affaires?
Mme Stephens : Equifax a informé directement sa clientèle de la violation de ses données. Je ne peux pas parler des relations d’affaires des banques avec Equifax.
La sénatrice Moncion : Qu’est-ce qui vous inquiéterait? Ou est-ce que cette violation vous inquiète? Toutes les institutions financières utilisent les services d’Equifax.
Mme Stephens : Absolument. Nos banques se pencheront sur l’affaire et vérifieront que les services qu’elles utilisent et les renseignements de leur clientèle sont protégés.
M. Ross : Permettez-moi d’ajouter un commentaire. Nos recommandations mettent nettement l’accent sur la résilience. Bien sûr, toute violation, quelle qu’en soit l’ampleur, est un problème. Elle touche la clientèle et les entreprises. Ce n’est bon pour personne. Nous préconisons de continuer de bloquer le problème et de voir à protéger les Canadiens contre ces genres de violations.
Le président : Lors de la violation chez Equifax, l’information comprenait-elle non seulement les noms des particuliers, mais peut-être aussi d’autres détails susceptibles d’intéresser une agence de crédit. L’information aurait-elle précisé le client, comme dans mon cas, la Banque Royale ou la Banque de Montréal? Toute cette information aurait-elle été là?
Darren Hannah, vice-président, Finances, risques et politique prudentielle, Association des banquiers canadiens : Soyons clairs, sénateur : à ce stade-ci, seule Equifax connaît l’ampleur de la violation. Pour avoir une réponse précise à votre question, il faudra en fin de compte la poser à Equifax.
Les banques font-elles preuve de diligence sur ce point? Absolument. Au bout du compte, plusieurs de ces personnes sont peut-être les clients des banques. Nous voulons être certains que nos clients sont bien protégés.
Le président : Ne serait-il pas de la responsabilité d’Equifax de prévenir tout de suite les banques que leurs clients ont peut-être été victimes?
M. Hannah : Bien sûr, nous avons incité Equifax à faire preuve de la plus grande transparence. Bien sûr, il y a eu un dialogue. En définitive, je pense que vous vouliez savoir quels renseignements précis auraient pu être compromis. C’est à Equifax d’examiner la question. Personne d’autre ne peut répondre à cette question avec certitude.
Le président : Je suis surpris qu’Equifax n’ait pas fourni cela à ses clients, à ses banques. N’aurait-elle pas dû fournir cette information aux banques clientes en disant : « Écoutez, nous avons un problème; 10 000 données de vos clients ont été compromises »? Cela n’aurait-il pas dû être fait presque immédiatement?
Mme Stephens : Equifax a discuté avec ses clients et avec les banques.
La sénatrice Moncion : C’est la banque qui transige avec Equifax, pas vos clients à vous. Vous utilisez les services d’Equifax pour obtenir de l’information sur vos clients, si bien que la responsabilité revient à l’institution financière. En cas de violation, c’est vous qui êtes responsable en définitive de l’information que vous fournissez à Equifax. Je trouve la réponse un peu faible. Vous dites qu’Equifax va prendre contact avec vos clients. Mais le client d’Equifax, c’est vous; pas moi comme cliente de la banque.
Mme Stephens : Je pense qu’Equifax aura des produits destinés directement aux consommateurs également, mais il est certain que les banques travaillent avec des tiers pour atténuer les risques pour leurs clients… S’il y a un moyen pour les banques d’aider à atténuer le risque… Mais la violation est survenue chez Equifax, qui a avisé ces clients. Elle a les données qui lui permettraient d’évaluer le risque et d’informer les consommateurs concernés.
La sénatrice Unger : Merci de votre exposé. Parlant de violation, la semaine dernière, des chercheurs d’une université belge ont annoncé la découverte d’un moyen de déjouer complètement le chiffrement des réseaux Wi-Fi. Voilà de quoi inquiéter, mais la réaction des organismes gouvernementaux et des médias a été plutôt timide. Je suppose que vous êtes au courant.
M. Ross : Oui, bien sûr. Nous entendons toujours parler de ce genre de choses. Un des avantages des chercheurs est évidemment de découvrir les lacunes ou les problèmes avant les personnes malveillantes. Les banques en sont évidemment prévenues. On s’attend que les fournisseurs en soient aussi informés et mettent en place des plans de correction et que les utilisateurs de ce type de systèmes installent des rustines pour protéger tout le monde.
M. Hannah : Madame la sénatrice, j’aimerais renchérir sur les propos de mon collègue. À certains égards, vous demandez pourquoi nous avons fait les recommandations que nous avons faites. En définitive, la cybersécurité doit être une approche à plusieurs niveaux. Il faut partager l’information pour accroître la résilience; il faut surveiller le trafic pour réduire l’introduction de codes malveillants; puis il faut faire de la sensibilisation pour que le client ou le particulier sache quoi surveiller. En fin de compte, l’approche doit être à plusieurs niveaux parce que, en définitive, la menace ne cesse pas d’évoluer. Il s’agit d’avoir plusieurs niveaux pour faire de la sensibilisation et de la prévention et accroître la capacité d’intervention.
La sénatrice Unger : Cette violation s’appelle Krack. Krack a trouvé moyen de déjouer tout le chiffrement du WPA2 sur les réseaux Wi-Fi. Il attaque tout le matériel Wi-Fi moderne pour les téléphones mobiles, les tablettes et les postes de travail, les routeurs, les imprimantes et tout le reste.
Ma question concerne spécifiquement Krack. Avez-vous trouvé une façon d’aviser vos clients? On ne parle pas vraiment de cette question. Elle vient seulement des plus hauts niveaux, mais le National Post a publié un grand article là-dessus. On serait peut-être sur le point de frapper l’éventail Wi-Fi. Plus particulièrement, en ce qui concerne Krack, avez-vous quoi que ce soit pour alerter les clients des banques?
M. Hannah : Le problème, madame la sénatrice, c’est que cela dépasse les services bancaires. Puis, on aborde la question de la sécurité de ma situation personnelle à la maison et de tout ce que je fais en plus. Au niveau institutionnel, cela devient alors un problème national. La sensibilisation doit aller au-delà de tout ce qui se rapporte aux banques si vous parlez d’une menace plus générique du point de vue du client et du citoyen.
La sénatrice Unger : Une dernière question sur ce qui vous préoccupe dans la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE. Vous avez dit que les récentes modifications à la LPRPDE empêchent vos membres de communiquer des renseignements personnels. Voilà justement ce dont je parle. Quelles sont vos préoccupations?
M. Ross : Il y a un certain temps, des changements à la LPRPDE ont éliminé les organismes d’enquête pour les remplacer par des règles qui permettent toujours l’échange de données frauduleuses. Par contre, la LPRPDE ne permet pas le partage de renseignements. Les anomalies ou les choses qui semblent bizarres, mais qui ne sont pas nécessairement des cas de fraude confirmés sont justement les activités que les changements interdisent de communiquer. Nous sommes d’avis que nous devons pouvoir partager certains de ces renseignements pour que, collectivement, nous puissions commencer à voir les tendances et les menaces évoluer et grossir. Alors, nous pourrons nous donner un plan de correction pour éviter les répercussions.
Mme Stephens : Dans les changements qui ont fait disparaître l’organisme d’enquête, on a ajouté deux nouvelles exceptions au consentement pour permettre la communication. La première vise à prévenir la fraude, mais elle n’est reliée qu’à la fraude. Je pense qu’il y a beaucoup d’autres domaines que la fraude et, dans le même ordre d’idées, la cybernétique où il serait avantageux de communiquer des renseignements pour prévenir des infractions criminelles.
Le sénateur Massicotte : Donnez-moi une idée du grand tableau. Nous utilisons tous les banques canadiennes. Nous comptons sur elles. Nous n’avons rien d’autre qu’un relevé papier ou électronique des sommes que nous vous avons prêtées ou confiées en dépôt. Tout est électronisé; tout est dans les airs. Il m’arrive de me réveiller la nuit avec le sentiment que mon argent pourrait disparaître et que je ne pourrais pas prouver ce que j’avais. Quel est le risque qu’on pirate mon compte et qu’une partie de mon argent se volatilise avec une certitude de 100 p. 100? Vous semblez très sûr de vous-même. Y a-t-il 99,99 p. 100 de certitude que je n’ai pas à m’en faire avec cela?
M. Ross : C’est difficile à chiffrer, pour être honnête, parce que le risque ne cesse d’évoluer. Mais je peux vous dire que la confiance est primordiale dans le secteur bancaire. Sans la confiance, les banques auraient bien du mal à exister. Les Canadiens perdant cette confiance…
Le sénateur Massicotte : Je comprends cela. Vous pouvez perdre notre confiance, mais si vous perdez mon argent, c’est encore plus grave.
M. Ross : Absolument. Les Canadiens sont protégés. S’ils perdent de l’argent ou sont victimes d’une cyberattaque, ils sont protégés. Les banques ont ce que nous appelons une responsabilité zéro, sauf erreur. Elles rembourseraient les pertes qu’un consommateur ou une entreprise subirait à cause d’activités frauduleuses.
Le sénateur Massicotte : Vous rembourserez automatiquement l’argent? Pas d’argument ni besoin de retenir les services d’un avocat; c’est garanti à 100 p. 100?
M. Ross : Les banques indemniseront leurs clients.
Le sénateur Massicotte : Laissez-moi vous parler de ma frustration. Voyez les bureaux de crédit. Dans ce cas-ci, il y a eu du piratage, et beaucoup d’information a été volée, y compris des noms et des numéros d’assurance sociale. Si une banque avait votre bilan, le pirate aurait mis la main dessus. Tout cela pourrait être public. Je n’aime pas du tout penser que vous fournissez cette information à ces entreprises en supposant qu’elles prendront les mêmes mesures que vous pour protéger vos clients. Et nous faisons confiance à des gens qui nous déçoivent et qui ont l’information. Je pense que 10 000 Canadiens ont ainsi été victimes de violations. Je dois admettre que cela me met en colère. D’où cette information vient-elle? De chez vous.
Le président : Supprimez cette dernière phrase. Il est en colère.
Le sénateur Massicotte : Oui, je suis en colère. Je le suis d’autant plus que l’information est venue surtout de chez vous, ou de chez Wal-Mart, ou de quelqu’un d’autre, parce que la plupart d’entre vous avez des relations avec ces entreprises et les exploitez sans vous gêner. Je suis en colère contre elles, et je pourrais l’être contre vous. Je devrais probablement l’être parce que vous n’avez pas pris les mesures ou l’assurance qu’il aurait fallu pour vous garantir qu’elles avaient des protections suffisantes pour que vous ne perdiez jamais ces renseignements. Vous leur avez donné ces renseignements personnels, et voilà qu’ils sont du domaine public. Comment corriger cela? Comment regagner ma confiance?
M. Ross : En premier lieu, mesdames et messieurs les sénateurs, je vous jure que j’ai entendu pire comme langage.
Cela dit, revenons à nos recommandations. Nous croyons qu’il faut des normes uniformes, qui doivent reposer sur la résilience, et non pas sur la réaction. Nous devons éviter ces menaces et ces dangers avant qu’ils ne deviennent des problèmes. Il nous faut des normes et une surveillance uniformes pour donner aux Canadiens la certitude que leurs données sont protégées dans tout l’écosystème. L’écosystème continue d’évoluer et de croître par le fait de la concurrence et de l’innovation. À la base, nous devons veiller à la convergence de ces normes.
Le sénateur Massicotte : Je comprends tout cela, mais avant de partager mes renseignements avec ces industries, avez-vous vérifié que leurs mesures de protection étaient suffisantes? Si oui, pourquoi aura-t-il fallu six ou neuf mois pour rendre le rapport public?
M. Ross : Dans le cadre de leur gestion des risques et de leurs relations avec des tiers, les banques veillent à se donner des normes de sécurité et des garanties. Je ne saurais parler spécifiquement d’Equifax ni, bien honnêtement, expliquer pourquoi tant de non-banques et de fournisseurs qui n’ont pas de relations avec les banques obtiennent quand même cette information. En tant que client, je peux m’inscrire auprès d’une tierce partie et permettre de lui communiquer mes renseignements bancaires sans que les banques le sachent. Dans la mesure où nous pouvons protéger les renseignements — et nous avons des plans en place et vérifions la sécurité des parties avec qui nous travaillons — il y a un écart très net, qui se creuse de jour en jour, avec des tierces parties avec lesquelles nous n’avons pas de relations et que nous ne surveillons pas.
Le sénateur Massicotte : Je comprends, mais le plus clair de l’information qu’elles avaient est confidentielle; je parle d’information personnelle, de bilans et ainsi de suite. Je soupçonne que la plupart d’entre nous ne donnons cette information à personne d’autre que la banque. Accepter qu’elles avaient cette information, c’est prouver qu’elle provenait d’un de vos membres. Vous faites un audit interne et mesurez vos risques, mais vous avez manifestement commis une erreur. Je devrais peut-être avoir le droit de vous poursuivre pour les torts que vous m’avez causés en ne faisant pas vos devoirs.
Mme Stephens : Vous avez raison, mais le système est important. Il est important de pouvoir obtenir du crédit et d’avoir un système permettant de l’évaluer. Pour revenir à la réponse de M. Ross, il existe des obligations contractuelles d’avoir des garanties de sécurité suffisantes pour ce type de données.
Encore une fois, c’est le problème d’Equifax. Il vaudrait probablement mieux poser ces questions à Equifax.
Le sénateur Wetston : Je m’intéresse aux textes que vous avez signés sur la cybersécurité. J’ai jeté un coup d’œil sur votre rapport de 2014 intitulé Résilience du système financier canadien : l’apport de la cybersécurité, et j’ai la réponse de l’ABC à Sécurité publique Canada également. Votre exposé d’aujourd’hui est en tout point conforme à l’approche, bien sûr. Je ne saurais dire le contraire.
J’essaie de comprendre, car les banques sont des institutions intégrées. J’ai posé ma question en termes légèrement différents au témoin précédent, mais le transfert du risque, surtout au niveau systémique, peut se faire sans atteinte à la cybersécurité. Ce n’est peut-être pas tout à cause de la cybersécurité. Les problèmes de cybersécurité n’étaient pour rien dans la crise financière d’il y a 10 ans. Vous serez probablement d’accord là-dessus. La crise était probablement imputable à la cupidité et à d’autres facteurs du genre, comme le mauvais comportement de l’industrie. Vous pouvez être d’accord ou pas avec moi sur ce point.
Parlant du futur cadre des services financiers, la sécurité de la technologie a du bon et du mauvais, au niveau des avantages que nous en tirons et des préjudices qu’elle peut nous causer. Nous comprenons que les menaces à la cybersécurité font probablement partie des préjudices qui naissent de l’innovation et des progrès technologiques.
Dans votre secteur, le secteur bancaire, vous ne serez pas surpris que la plupart des banques aient aussi une présence sur les marchés financiers. C’est le secteur bancaire qui vous intéresse surtout. Pouvez-vous me dire ce que vous faites, sur les marchés financiers, pour contrer les menaces à la cybersécurité. Sont-elles les mêmes? Sont-elles différentes?
Je sais que les banques ont dépensé collectivement des milliards de dollars en cybersécurité au Canada pour contrer ces menaces et concevoir les processus à mettre en place pour repousser ces attaques. Je suis sûr que vous en avez fait beaucoup. Pouvez-vous m’aider à comprendre le scénario selon lequel les banques ne sont plus que des banques au sens traditionnel et sont réglementées par le BSIF?
M. Hannah : Bien sûr. Au fond, dans la perspective du groupe financier bancaire, vous gérez ces enjeux au niveau du groupe et essayez de tirer parti des infrastructures et de l’expertise que vous avez à l’échelle du groupe, que ce soit un point de contact pour la gestion du patrimoine, les banques, les assurances ou les fonds communs de placement.
Mon interaction avec le client est souvent multidimensionnelle et j’ai donc intérêt à protéger le client dans les divers vecteurs. Je veux éviter de voir des points de vulnérabilité susceptibles de créer le problème dont vous parlez. Lorsque vous avez un problème comme celui-là dans la perspective des services financiers — dans la perspective bancaire, s’il y a plusieurs secteurs d’activité — je dois les protéger tous.
Le sénateur Wetston : Si j’allais dans ce sens, c’est que beaucoup d’activités échappent à la sphère de réglementation du BSIF. Je sais que le BSIF a… Comment appelez-vous ce guide? Il a publié un guide. Aidez-moi un peu, pendant que je cherche. N’a-t-il pas produit un guide sur la cybersécurité?
M. Ross : Un questionnaire d’autoévaluation, oui.
Le sénateur Wetston : Oui. C’est un guide ou un questionnaire?
M. Ross : C’est un questionnaire qui sert au BSIF à mesurer la résilience cybernétique des institutions financières qu’il réglemente.
Le sénateur Wetston : À cet égard, les banques envoient-elles leurs données sur les violations au BSIF, pour l’aider à comprendre les menaces qui pèsent sur le système, comme les risques systémiques qui pourraient être inclus? J’ai posé cette question la semaine dernière, et je n’ai pas eu de réponse. Je réessayerai, peut-être à l’occasion de la comparution du BSIF, monsieur le président.
M. Ross : Chose certaine, dans le questionnaire, les banques fournissent de l’information au BSIF conformément aux lignes directrices. Je ne me rappelle pas, bien honnêtement, s’il y a des faits et des chiffres, mais le questionnaire couvre certainement plusieurs composantes de la résilience cybernétique.
Le sénateur Wetston : Je vous demanderais d’envoyer à la greffière du comité les données que vous pourriez avoir à ce sujet, si possible. Je veux comprendre l’étendue des menaces. Peut-être que chaque institution, ou le BSIF, doit répondre à ma question; en tout cas, cette information serait utile.
Je vois où vont les services financiers, et vous pouvez être d’accord ou pas avec moi ici. J’ai le sentiment que certains services financiers offerts pourraient être moins exposés aux cybermenaces que le système bancaire et financier traditionnel. Commençons par la cybersécurité, en général, en pensant aux technologies financières, aux cryptomonnaies et à la technologie des chaînes de bloc… Je sais que vos systèmes de transfert de paiements de grande valeur pourraient aussi être menacés dans le processus de compensation et de règlement, qui pourrait lui aussi être exposé à une attaque contre la cybersécurité.
L’évolution de la technologie s’accompagne toujours de nouveaux défis. Pensez-vous que ces technologies représentent de plus grandes menaces ou des menaces moindres dans ces domaines pour les investisseurs, les consommateurs et le grand public?
M. Ross : Je ne sais pas si c’est de plus grandes menaces. Si un plus grand nombre de fournisseurs ne sont pas réglementés, cette information n’est tout simplement pas disponible. On n’est pas aussi sûrs que ces entités ont la même résilience que l’institution financière.
Je ne dis pas qu’une entreprise de technologie financière aurait besoin du même degré de résilience et de réglementation, mais elle est fondée sur le risque et, aujourd’hui, il n’y a essentiellement rien pour les joueurs qui ne sont pas réglementés. Dans diverses consultations, nous sommes d’avis que, en matière de cybersécurité, il faut au moins une norme minimale fondée sur le risque que présente le participant pour l’écosystème.
La sénatrice Ringuette : Vous parlez d’une approche à plusieurs niveaux, vous parlez d’être proactifs et vous dites que les Canadiens sont protégés contre la fraude. Il y a des garanties bancaires.
Par contre, comme les collègues qui m’ont précédée, j’ai une question à propos d’Equifax. Vous ne reconnaissez pas votre responsabilité envers vos clients pour l’approche à plusieurs niveaux et pour ce qui est de la protection proactive de leur information et de la garantie bancaire dont vous ne cessez de parler. Nous n’avons pas encore pu persuader les banques de reconnaître leur responsabilité et d’être proactives dans le cas précis d’Equifax. C’est un simple commentaire. Ce n’est pas une question, car je sais que vous n’allez pas nous donner le processus détaillé que vous appliquez à l’égard d’Equifax et de vos clients.
Cela dit, la semaine dernière j’ai lu que la Banque TD fait traiter ses données en Inde. Voici que vous nous dites aujourd’hui :
Les banques appuient le travail du gouvernement dans la protection des Canadiens tout en encourageant l’innovation et la concurrence. Nous encourageons le gouvernement fédéral à mettre au point et à implanter sa nouvelle stratégie en matière de cybersécurité, qui vise à protéger les Canadiens et à améliorer la résilience cybernétique du Canada.
Quelles mesures précises prenez-vous lorsque vous décidez de transférer à l’étranger les données d’un client bancaire? Voilà en soi une grande préoccupation pour moi, en tant que consommatrice canadienne qui confie ses affaires financières à une banque.
Et vous êtes là à nous dire : « Ce n’est pas notre faute. C’est à Equifax de régler son problème. » Vous ne semblez pas accepter la moindre responsabilité ni obligation de proactivité, pendant que l’un de vos principaux membres associés envoie ses données bancaires, c’est-à-dire celles de tous ses clients, à l’étranger. Quel est le processus? Même si nous avons une loi canadienne, les données ne se trouvent pas dans notre territoire géographique. Que faites-vous pour protéger les données bancaires qui ne sont pas chez nous? Où est votre garantie?
M. Ross : Tout d’abord, les banques canadiennes sont soumises à la réglementation et à la loi canadiennes.
Ensuite, on peut dire sans risquer de se tromper que, peu importe où elles sont hébergées, que ce soit dans la même ville ou à l’autre bout du monde, les données passent toujours par des systèmes et des lignes de télécommunication. En définitive, qu’elles restent dans la même ville ou qu’elles aillent ailleurs dans le monde, elles font l’objet des mêmes protections que les banques canadiennes appliquent de toute façon à leur communication.
Quant à l’approche mesurée dont j’ai parlé, toutes les données du Canada sont envoyées ailleurs dans le monde. Elles sont séparées en fonction des activités des employés, encore une fois, sans égard à leur lieu de résidence ou de travail. Ainsi, ils n’ont accès qu’aux seules données dont ils ont besoin pour s’acquitter de leurs fonctions. Tout est surveillé et audité. Il y a une approche à plusieurs niveaux. La cybersécurité est une question extrêmement sérieuse pour les banques. La réalité est que la menace est la même, peu importe qu’on envoie l’information à l’étranger ou dans la même ville.
Mme Stephens : Je ne voudrais pas laisser passer l’impression erronée que nos banques ne sont pas parfaitement au courant de la violation d’Equifax. Leur priorité absolue est d’atténuer les risques pour leurs clients.
En outre, pour donner suite aux commentaires de M. Ross, il est certain qu’un principe de responsabilisation est enchâssé dans la LPRPDE. Dans le cas qui nous intéresse, la responsabilisation incombe à la banque. Il n’y a aucune façon de le changer. Que ce soit envers les fournisseurs au Canada ou à l’étranger, c’est la banque qui demeure responsable et il existe un processus à paliers multiples, assorti de principes de diligence raisonnable avec des examens sur place et des protections contractuelles qui interviennent. Pour sélectionner un fournisseur et le surveiller, une approche de gestion des risques à paliers est appliquée afin de veiller au respect des règles que nous avons instaurées et d’assurer une protection notamment contre les cyberrisques.
La sénatrice Ringuette : Madame Stephens, vous vous répétez; vous dites que vous prenez toutes les mesures, que vous agissez proactivement et ainsi de suite. Vous ne m’avez pas convaincue de l’avoir fait dans le cas d’Equifax. Pour quelle raison devrais-je croire des données bancaires provenant d’une entité de la TD en Inde et faire confiance à ces données? Pour quelle raison des renseignements bancaires concernant Visa ou Mastercard provenant des États-Unis devraient-ils m’inspirer confiance? Même si nous légiférerons, en fin de compte, nous n’avons pas compétence sur quoi que soit qui se déroule à l’extérieur du Canada. Nous ne pouvons instaurer des lois qui seraient applicables aux États-Unis ou en Inde.
J’apprécie votre apport ce matin, mais je dois aussi vous dire que ce n’est pas très rassurant. Des données d’Equifax ont été compromises. Une bonne partie de ces renseignements a fort probablement été donnée à cette entité par une institution bancaire. En fin de compte, les banques ne sont pas les victimes, pas plus qu’Equifax. Les victimes, ce sont plutôt les 10 000 Canadiens.
M. Hannah : Vous avez mis le doigt sur quelque chose et je veux y revenir, car je pense qu’à certains égards, poser la question, c’est y répondre. Pour le secteur bancaire, tout est question de confiance. Je vais seulement confier mon argent à une institution en laquelle j’ai confiance. Je suis convaincu qu’elle agira au mieux. Si je perds cette confiance dans l’institution, je transférerai mes avoirs ailleurs. Les banques ont donc tout intérêt à être le plus attentionnées que possible, car ce secteur s’appuie sur la confiance et nous le savons. En fin de compte, c’est le moteur de tout le reste. C’est cette base de confiance qui, vous le savez, est au cœur de votre franchise.
[Français]
Le sénateur Maltais : Merci pour vos témoignages. J’ai deux courtes questions. La sénatrice Ringuette vous a posé une question, mais je ne suis pas sûr d’avoir bien compris votre réponse.
La sénatrice Ringuette : Il n’y en avait pas.
Le sénateur Maltais : Est-ce que la cybersécurité des banques est également assurée dans toutes les succursales bancaires et leurs filiales à travers le monde? Par exemple, si la Banque Scotia a une succursale à Cuba, y assurez-vous la cybersécurité?
[Traduction]
M. Ross : La réponse est oui. Comme M. Hannah l’a mentionné, les banques étudient le tableau d’ensemble. Elles examinent toute leur entreprise. Peu importe où leurs établissements se situent, elles appliquent d’habitude une approche organisationnelle. Les règlements, les lois et la diligence qu’elles appliquent pour protéger les données dont elles disposent sur les Canadiens seraient les mêmes, peu importe l’endroit où les données sont entreposées.
[Français]
Le sénateur Maltais : Merci. À la page 2 de votre mémoire, il est question d’un organisme fédéral responsable, de normes uniformes pour les secteurs des infrastructures essentielles, et du blocage et du partage de la communication de données malveillantes.Est-ce que vous partagez vos renseignements avec les systèmes de sécurité des institutions financières qui ne sont pas couvertes par la Loi sur les banques du gouvernement, par exemple les credit unions, les caisses populaires, et cetera? Est-ce que vous partagez des renseignements avec eux?
[Traduction]
M. Ross : Nous n’échangeons aucun renseignement personnel. Nous échangeons des renseignements par diverses voies de communication, notamment dans le cadre de l’ABC, bien entendu; en matière de cybersécurité, nous avons invité certains groupes non membres, y compris les coopératives de crédit du groupe TMX à échanger des renseignements dont nous avons tenu compte. Nous avons aussi transmis ces renseignements par l’entremise de l’Échange canadien de menaces cybernétiques, qui a vu le jour l’an dernier, puis nous collaborons d’assez près avec le CCRIC, un organisme de Sécurité publique Canada.
Dans le secteur des services financiers, nous faisons du bon travail pour ce qui est de l’échange de renseignements. Il y aurait lieu par contre d’étendre ce savoir à d’autres infrastructures et secteurs essentiels, et d’apprendre d’eux, afin que nous puissions tous en profiter.
[Français]
Le sénateur Maltais : Est-ce que vous travaillez en collaboration avec les compagnies d’assurance canadiennes?
[Traduction]
M. Ross : Il y a des représentants des sociétés d’assurances parmi nous et assurément, bien des institutions financières offrent aussi des produits d’assurance. Je le répète, dans l’optique organisationnelle, par défaut, oui, elles font partie de l’équation.
Nous continuons à encourager les organismes canadiens à participer aux travaux du CCRIC et de l’Échange canadien de menaces cybernétiques et de certaines autres structures qui ont été établies. Nous aimerions bien sûr qu’il y en ait davantage. L’Échange canadien de menaces cybernétiques est assez récent et l’industrie bancaire a été l’un des moteurs de la création de cette entité.
M. Hannah : Pour faire fond sur les propos de M. Ross et les relier aux recommandations que nous avons formulées, c’est exactement la raison pour laquelle nous pensons qu’il serait utile de mettre sur pied un organisme principal de coordination chargé d’élaborer des normes uniformes pour l’ensemble des infrastructures essentielles et d’améliorer le partage de l’information. Cela revient exactement à ce que vous dites; l’industrie est interdépendante et les secteurs des infrastructures essentielles dépendent l’un de l’autre. Dans la mesure où le gouvernement peut intervenir pour ériger ces ponts, aider à renforcer la communication déjà établie et créer un langage commun pour en parler, les choses ne pourront qu’aller mieux.
Le président : C’est manifestement dans votre propre intérêt.
M. Hannah : Tout à fait.
Le président : Une violation dans une institution aurait des effets non seulement pour cette institution, mais aussi pour l’ensemble des établissements. Est-ce exact?
M. Hannah : Absolument.
Le président : Il y aurait un mouvement de panique, non?
M. Hannah : Il y a certainement des avantages à pouvoir s’échanger des renseignements et le savoir entre secteurs, puisque les risques en cybersécurité sont, nous dirons, fongibles. Les mêmes vecteurs d’attaque et les maliciels peuvent être utilisés dans de multiples circonstances.
Le président : Nous réclamons l’application de mesures de sécurité, comme la surveillance des réserves, que les banques sont tenues d’appliquer. Est-ce que vous suggérez d’instaurer une politique ou une loi générale en vertu de laquelle on veillerait à ce que les nouveaux participants du marché bénéficient de la même protection dont jouissent déjà les banques? Pourrait-on prévoir dans la loi une norme minimale ou le processus législatif est-il lent au point de ne pouvoir suivre la cadence de la technologie?
M. Ross : Je suppose qu’une loi serait utile. Vous dites que la législation et le rythme du changement pourraient ne pas nécessairement coïncider. Nous recommandons, bien sûr, d’établir une loi qui autoriserait la mise en place de normes minimales et de laisser les organismes de réglementation et l’environnement réglementaire définir ces normes, car elles changeront au fur et à mesure que les menaces, les systèmes et ainsi de suite évolueront.
Le président : Je ne veux tout simplement pas que des normes minimales soient enchâssées dans une loi. Autrement dit, je ne veux pas que tout le monde s’en tienne au minimum. Inciter fortement les banques à continuer à resserrer leurs normes de sécurité, voilà ce que vous voulez.
M. Ross : Aucun doute à ce sujet; je le répète, les banques comprennent la réglementation et elles comprennent le risque. À mon avis, les banques font et comprennent certaines choses et d’autres secteurs auraient tout intérêt à s’en inspirer.
Le président : J’y arrivais justement.
M. Ross : Voilà pourquoi nous recommandons de mettre en place des normes communes. Je ne suggère pas d’appliquer la même norme à une banque modeste. Je dis qu’il pourrait y avoir certaines normes à paliers et axées sur les risques en matière de cybersécurité.
Il y a des seuils absolus. Peu importe la taille de l’organisation, elle peut parfois avoir la capacité de provoquer une cybercontagion dans les services financiers interdépendants et, en fait, au-delà de cela. Nous parlons encore de résilience et de protection des Canadiens dans l’ensemble des secteurs, sans nous limiter au secteur bancaire.
Le président : Sénateur Maltais, avez-vous une autre question? Je ne voulais pas vous interrompre. Vous aviez dit que c’était la dernière.
Le sénateur Maltais : J’ai une petite question.
[Français]
Seriez-vous d’accord pour que le gouvernement fédéral crée un organisme de réglementation où tous les services de cybersécurité, dans les secteurs bancaires, financiers et des assurances, seraient regroupés sous la réglementation fédérale? Seriez-vous d’accord à ce qu’un organisme, dont vous seriez tous membres, soit chargé de l’échange de renseignements confidentiels?
[Traduction]
M. Ross : Certes, nous encourageons et appuyons la compétence fédérale. Je pense qu’il est juste de le dire. À mon avis, nous avons l’occasion, je le répète, de discuter de la création d’un organisme principal et nous croyons que cela devrait se faire au niveau fédéral. Manifestement, il faudra peut-être se pencher sur certaines dynamiques portant sur la façon dont les institutions financières sont réglementées de nos jours. Je veux dire que certaines relèvent d’un organisme provincial, mais je suis absolument persuadé que l’établissement d’une norme et d’un régime s’appliquant à tous peut faire en sorte que tout le monde atteigne un niveau de résilience.
En fin de compte, nous nous efforçons d’instaurer la résilience afin de ne pas avoir à composer avec les conséquences d’une véritable violation de la cybersécurité ou à les éviter. Je pense que c’est fondamentalement important et c’est la raison pour laquelle nous recommandons notamment de normaliser la réglementation et de mettre en place un organisme central.
Le président : Je commence un deuxième tour. Même si nous avons jusqu’à 12 h 30, nous devons probablement, selon moi, prévoir entre 15 et 20 minutes pour des travaux à huis clos. Si vous voulez manger plus tôt, agissez en conséquence. Autrement, vous devrez attendre à 12 h 30.
[Français]
Le sénateur Boisvenu : Ce qui a attiré mon attention dans votre mémoire, à la page 2, c’est lorsque vous affirmez que, pour que le cadre de cybersécurité soit efficace au Canada, il faudrait qu’un seul organisme en assure le contrôle. Évidemment, dans la bureaucratie, plus il y a de gens qui font les mêmes tâches, plus le risque d’erreur est grand. C’est un théorème tout à fait connu.
J’ai deux questions à vous poser. Tout d’abord, sentez-vous une volonté d’agir de la part du gouvernement? Ensuite, quel est l’état de vos relations avec le gouvernement actuel en ce qui concerne la sensibilisation face à la situation qui, selon vous, est à risque?
[Traduction]
M. Ross : Je vais d’abord répondre à la question au sujet du concept d’organisme unique relevant du gouvernement fédéral. Nous appuyons sans conteste l’idée d’une seule entité fédérale pour gérer la cybersécurité et la sensibilisation à cet égard. Je pense qu’il est utile de procéder ainsi.
S’agissant de l’interaction aujourd’hui, nous collaborons de près avec le ministère de la Sécurité publique. Comme je l’ai dit, nous sommes partenaires avec le CCRIC qui relève de Sécurité publique Canada. Nous collaborons également avec Finances Canada ainsi qu’avec les forces de l’ordre. Nous interagissons donc beaucoup avec les organismes fédéraux. De toute évidence, nous interagissons aussi avec les pendants provinciaux.
Nous pensons avoir beaucoup à apporter à l’écosystème. Nous en savons beaucoup. Nous investissons beaucoup pour garantir la sûreté et la sécurité des données financières des Canadiens. Franchement, nous sommes en mesure de partager une partie de ce savoir et nous voulons le faire avec d’autres industries et d’autres secteurs.
[Français]
Le sénateur Boisvenu : Vous me donnez une réponse politique. Vous me dites que vous entretenez beaucoup de relations et de communications avec ces organismes. Ce n’est pas la question que j’ai posée. De quelle façon sentez-vous qu’il y a eu une réelle progression dans la mise en place d’une stratégie pour assurer la sécurité du système bancaire contre les cyberattaques? Que remarquez-vous comme progression en termes de mise en place d’un système sécuritaire?
[Traduction]
M. Ross : Un cadre imposant a été établi au sein du secteur financier pour garantir la cyberrésilience et la protection des données financières. Comme je l’ai dit, les menaces évoluent sans cesse et nous devons évoluer aussi. Je pense que nous ne finirons jamais de bâtir notre collaboration avec les organismes du gouvernement et avec les forces de l’ordre dans ce dossier.
La sénatrice Unger : Revenons sur quelques-unes de mes questions. L’une de vos recommandations porte sur la création d’un seul organisme fédéral.
Je dois dire que le gouvernement fédéral est peu loquace sur l’effet qu’ont sur ses ministères les failles du système de sécurité constatées récemment dans presque tous les dispositifs sans fil et sur le fait que les fonctionnaires qui apportent du travail à la maison sont les plus à risque. Je veux dire que le gouvernement est extrêmement discret à ce sujet.
Donc, si l’institution bancaire est au courant de cette vulnérabilité au krach, qui somme toute, ouvre la porte à tous les réseaux sans fil, pour quelle raison ne pas en informer vos clients et, à tout le moins, leur recommander de se brancher à Internet avec un câble au lieu du Wi-Fi?
M. Ross : Je pense que vous faites allusion à la notion de krach et à l’infrastructure du gouvernement fédéral. C’est ainsi que j’ai compris la question. À mon avis, il faudrait en saisir le gouvernement fédéral.
La sénatrice Unger : Je l’ai fait et ils sont restés muets.
M. Ross : Dans notre optique, les problèmes de sécurité vont parfois, de toute évidence, au-delà du secteur bancaire. Ici aussi le gouvernement fédéral pourrait et devrait faire preuve de leadership dans ce dossier pour coordonner et sensibiliser les intervenants à ces extrémités, car, en fin de compte, nous parlons des particuliers, des consommateurs et des petites entreprises qui doivent prendre des mesures pour affronter une menace quelconque, comme celle que vous avez décrite.
Le sénateur Wetston : Vous savez tous très bien, comme nous tous d’ailleurs, que les fédérations ont invariablement des systèmes réglementaire, législatif et constitutionnel extrêmement fragmentés pour faire face à des enjeux importants comme celui de la cybersécurité, entre autres. Si cet enjeu pouvait être intégré au domaine du risque systémique, il pourrait avec de la chance être réglé à l’échelle fédérale sans que des préoccupations de nature provinciale ou autre n’interviennent étant donné le renvoi au risque systémique fait par la Cour suprême il y a quelques années dont vous êtes au courant.
Ce que je veux dire, si on regarde en amont, c’est que vous avez dit que le secteur des télécommunications est le canal de diffusion des données électroniques. La réglementation d’Internet et la prise en compte des questions de liberté d’expression, de Charte et de protection de la vie privée représentent un défi de taille. Vous laissez entendre que le gouvernement fédéral devrait envisager des solutions législatives face à cet enjeu — je parle plus d’un enjeu en amont qui, bien entendu, est important.
Avez-vous quelque chose à ajouter à ce sujet? Y avez-vous réfléchi davantage? En quoi consisteraient ces solutions législatives? Je comprends que vous ciblez le secteur bancaire par l’entremise de vos membres, mais cela a un vaste effet sur l’économie. Des craintes dans votre domaine peuvent certainement générer un risque systémique dans l’économie si vous êtes confrontés à des enjeux importants du genre. Avez-vous des idées à ce sujet, dont vous pourriez faire part aux membres du comité?
M. Ross : Je pense que les télécommunications sont de compétence fédérale.
Le sénateur Wetston : En effet.
M. Ross : Je dirais que c’est l’un des secteurs qu’il serait plus facile de surveiller davantage. Nous avons dit, dans nos remarques, avoir certains défis à cause de la LPRPDE qui limite la capacité d’échanger des renseignements. Cela revient à essayer de bâtir la résilience et non de composer avec une fraude après coup.
Le sénateur Wetston : Permettez-moi de vous interrompre. Je me demande si vous avez des réflexions plus précises à ce sujet dont vous pourriez faire part au comité, autres que ces observations générales avec lesquelles je ne suis pas en désaccord : elles sont très concrètes. Si vous ne l’avez pas fait, vous ne l’avez pas fait, c’est tout. J’insiste ici sur la question à savoir si vous pouvez communiquer cette information.
M. Hannah : Nous avons adopté comme approche, si je peux intervenir, d’essayer de définir l’architecture qui, selon nous, serait appropriée et de garantir des normes communes dans tout le secteur. Nous savons qu’il y a des questions de compétence et nous espérons qu’elles puissent se régler, car, en fin de compte, la menace n’est pas limitée par la compétence dans ce cas en particulier.
Nous estimons qu’il serait important, dans ce contexte, d’améliorer l’échange d’informations. À notre avis, il faudrait un organisme principal. Nous croyons fermement que ces réunions doivent permettre d’élaborer un mécanisme pour réduire le trafic malveillant parce que les données malveillantes circulent; il doit y avoir un moyen d’y mettre un terme.
Peu importe la compétence, nous pensons qu’il faut éduquer tant les petites entreprises que les particuliers pour essayer de veiller à ce que ces gens comprennent la situation et qu’ils puissent eux-mêmes prendre des mesures. Nous, nous avons adopté l’approche de l’architecture. Une fois cette étape franchie, nous pourrons alors nous attarder à la mise en pratique. Or, c’était notre souci principal.
Le président : Merci. Avons-nous terminé? Si oui, je remercie ceux qui ont comparu. Nous allons dire au revoir aux témoins, puis nous reprendrons la séance et poursuivrons nos travaux à huis clos.
(La séance se poursuit à huis clos.)