Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 35 - Témoignages du 1er mars 2018
OTTAWA, le jeudi 1er mars 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 10 h 30, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, et d’étudier la situation actuelle du régime financier canadien et international.
Le sénateur Douglas Black (président) occupe le fauteuil.
[Traduction]
Le président : Bonjour et bienvenue à mes collègues de même qu’aux membres du grand public présents dans la salle ou qui suivent les délibérations du Comité sénatorial permanent des banques et du commerce d’aujourd’hui sur le Web.
Je m’appelle Doug Black. Je suis un sénateur de l’Alberta et j’ai le privilège de présider ce comité. Je demanderais à mes collègues de se présenter.
Le sénateur Tannas : Scott Tannas, de l’Alberta.
[Français]
Le sénateur Dagenais : Jean-guy Dagenais, du Québec.
[Traduction]
Le sénateur Wetston : Howard Wetston, de l’Ontario.
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, du Nouveau-Brunswick.
Le président : Je vous remercie de votre présence.
Nous profitons également des excellents services de nos greffiers et analystes.
Aujourd’hui, nous tenons notre sixième réunion en vue d’étudier les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les menaces cybernétiques contre les secteurs financier et commercial du Canada, la situation actuelle relative aux technologies de cybersécurité, et les mesures et règlements en matière de cybersécurité au Canada et à l’étranger.
La deuxième partie de notre réunion portera sur notre mandat général, soit la situation actuelle du régime financier canadien et international.
Pour la première partie de notre séance, c’est avec plaisir que nous recevons Scott Smith, qui est directeur de la propriété intellectuelle et de la politique d’innovation à la Chambre de commerce du Canada, Robert W. Gordon, qui est directeur général de l’Échange canadien de menaces cybernétiques, et Ron Green, qui est chef de la sécurité pour MasterCard.
Nous recevons un groupe de témoins éclairés et distingués; nous avons hâte de vous entendre. Nous invitons chacun d’entre vous à présenter un exposé d’au plus cinq minutes; nous passerons ensuite aux questions. Messieurs, nous vous remercions d’être ici aujourd’hui.
Monsieur Gordon, vous avez la parole.
Robert W. Gordon, directeur général, Échange canadien de menaces cybernétiques : Merci, monsieur le président, mesdames et messieurs les membres du comité, de me donner l’occasion d’aborder la question des menaces cybernétiques contre les secteurs financier et commercial du Canada, et des mesures de sécurité en place pour atténuer ces menaces.
Comme il s’agit de la première fois qu’un représentant de l’Échange canadien de renseignements sur les menaces cybernétiques, ou ECMC, a le privilège de témoigner devant le comité, je vais profiter de l’occasion pour expliquer pourquoi l’ECMC a été créé et le rôle qu’il joue en vue d’aider le secteur privé à atténuer les risques associés aux menaces cybernétiques.
Il y a environ trois ans, un groupe de dirigeants principaux canadiens a étudié la possibilité de créer l’ECMC pour faciliter l’échange de renseignements sur les menaces cybernétiques. Ils ont fait valoir que les connaissances au sujet des cybermenaces ne devaient pas être l’objet d’une concurrence entre les entreprises et que toutes les entreprises devraient avoir une compréhension de base à l’égard des menaces cybernétiques auxquelles elles sont confrontées. Les sociétés pourront ensuite se livrer une concurrence égale pour les produits et services qu’elles offrent.
En décembre 2015, l’ECMC a été créé par neuf sociétés qui ont offert un financement initial : Air Canada, Bell Canada, la Compagnie des chemins de fer nationaux, Hydro One Networks Inc., la Financière Manuvie, la Banque Royale du Canada, le Groupe Banque TD, TELUS et la Société TransCanada. Aujourd’hui, l’ECMC compte la participation de 11 institutions financières et des membres de divers secteurs comme le transport, les télécommunications, l’énergie, le commerce de détail, les services professionnels et le divertissement.
Les renseignements sur les menaces cybernétiques sont importants pour plusieurs raisons. L’échange de renseignements nous permet de miser sur les connaissances des autres et rend les attaques plus coûteuses. Il permet d’enrichir les renseignements sur les menaces cybernétiques consignés par les entreprises, ce qui les rend plus exploitables. Les renseignements opportuns et exploitables nous permettent de renforcer notre cyberdéfense. L’échange de renseignements est rentable, puisque les entreprises n’ont pas à faire l’analyse elles-mêmes. L’échange permet également de protéger les clients et la chaîne d’approvisionnement des entreprises. En somme, la cybersécurité est un sport d’équipe.
L’ECMC est un organisme à but non lucratif qui a deux mandats : d’abord, il agit à titre de centre d’échange de renseignements sur les menaces cybernétiques; ensuite, il permet aux sociétés membres de collaborer à la lutte contre les menaces cybernétiques. L’ECMC est unique puisqu’il représente tous les secteurs et les entreprises de toutes les tailles.
Le centre d’échange de renseignements de l’ECMC permet aux entreprises membres d’échanger des renseignements sur les menaces cybernétiques. Bientôt, il recevra des renseignements des ministères du gouvernement fédéral de même que des sources de données sur la menace, qui seront achetées à des fournisseurs commerciaux. Les sociétés participantes transmettent ce que l’on appelle les indicateurs de compromission, c’est-à-dire des cyberactivités inhabituelles détectées sur leurs réseaux.
Les renseignements transmis par les sociétés membres sont ensuite anonymisés : il est impossible d’associer les renseignements à une entreprise et il n’y a aucun renseignement personnel.
Les analystes de l’ECMC examinent les renseignements et préparent divers rapports connexes. Certains rapports sont de nature tactique et portent sur les attaques qui se préparent, et d’autres rapports sont plutôt de nature stratégique, pour aider les entreprises à prendre des décisions. Au cours de sa première année d’activité, l’ECMC a publié plus de 1 000 rapports.
Les renseignements envoyés et reçus par le centre des opérations de l’ECMC peuvent être traités selon un format lisible à la machine. L’objectif consiste à diffuser l’information le plus rapidement possible de sorte que les organisations participantes puissent s’en servir à des fins de défense. Pour être utiles, les renseignements doivent être exploitables. Pour être exploitables, ils doivent être opportuns et pertinents sur le plan contextuel.
Le mandat de collaboration de l’ECMC offre aux professionnels de la cybersécurité la possibilité d’échanger les meilleures pratiques et leurs idées. Les échanges se font dans ce que nous appelons des communautés d’intérêt et des communautés de confiance.
Les communautés d’intérêt comptent des membres des divers secteurs de l’industrie. On y parle notamment d’attaques de rançongiciels, des nouvelles technologies et de la prévention de la perte des données. Les échanges se font selon diverses formes, notamment par l’entremise de téléconférences mensuelles, au cours desquelles les experts en matière de cybersécurité parlent des derniers développements. Le portail sécurisé de l’ECMC contient également des compartiments où les sociétés peuvent publier des renseignements et échanger des commentaires sur les développements en matière de cybersécurité.
Les communautés de confiance sont mises sur pied afin de faciliter la collaboration entre quelques entreprises lorsque les renseignements échangés sont de nature particulièrement sensible ou lorsque les échanges risquent de ne pas intéresser l’ensemble des membres. Une communauté de confiance a été mise sur pied et compte la participation de banques et entreprises de télécommunications qui étudient certaines menaces cybernétiques particulières.
La majeure partie de la collaboration se fait dans l’environnement virtuel. Nous offrons également un espace physique dans notre centre des opérations où les professionnels de la cybersécurité peuvent se réunir en personne dans le but de trouver des solutions aux problèmes actuels.
De plus, l’ECMC organise des événements de collaboration à divers endroits au pays. Au cours de ces événements d’une demi-journée, des experts viennent discuter d’un éventail de sujets, qu’il s’agisse des nouvelles lois en matière de cybersécurité, de la façon dont l’intelligence artificielle peut améliorer la cybersécurité ou des dernières techniques utilisées par les auteurs de cyberattaques.
L’ECMC se prépare à recevoir des renseignements de deux sources au gouvernement fédéral : le Centre canadien de réponse aux incidents cybernétiques de Sécurité publique Canada et le Centre de la sécurité des télécommunications. Les deux centres appuient les exploitants d’infrastructures essentielles du Canada. En collaborant avec l’ECMC, ils élargissent ce soutien et l’offrent à un plus grand nombre d’organisations.
L’ECMC profite de l’expertise des invités permanents aux réunions du conseil d’administration, notamment des universitaires et des représentants de Sécurité publique Canada, du Centre de la sécurité des télécommunications et du Conseil canadien des affaires. À l’heure actuelle, Benoît Dupont, du Réseau intégré sur la cybersécurité, qui a déjà témoigné devant le comité, est le représentant du milieu universitaire.
Pour conclure, l’objectif premier de l’ECMC était d’attirer de grandes organisations et de leur offrir des produits et services. La prochaine étape visera à développer des produits et services en matière de cybersécurité conçus pour répondre aux besoins des petites et moyennes entreprises. Nous étudions les possibilités de partenariats élargis avec les universités afin d’accroître le nombre de professionnels de la cybersécurité, puisqu’il y a une importante pénurie en la matière au Canada, et de favoriser la recherche sur la cybersécurité, dont profiteront tous les Canadiens.
Merci beaucoup. C’est avec plaisir que je répondrai à vos questions.
Le président : Merci beaucoup, monsieur Gordon; c’était un très bon exposé. Monsieur Smith, allez-y, s’il vous plaît.
Scott Smith, directeur, Propriété intellectuelle et politique d’innovation, Chambre de commerce du Canada : Sénateur Black, mesdames et messieurs les membres du comité, merci de l’invitation à comparaître pour traiter des questions relatives à la cybersécurité, un enjeu qui est au centre de mes préoccupations ces deux ou trois dernières années.
Je suis heureux d’être ici pour représenter la Chambre de commerce du Canada, le plus grand organisme de gens d’affaires au Canada. Notre réseau regroupe plus de 450 chambres de commerce représentant 200 000 entreprises de toutes les tailles dans tous les secteurs de l’économie et toutes les régions. Mes observations de ce matin seront représentatives de nos discussions régulières avec nos membres.
« Cybercriminalité » est un terme générique qui sert à décrire diverses intrusions plus précises découlant de l’infiltration d’ordinateurs branchés en réseau. La fraude, sous forme de vol d’identité ou d’usurpation de sites web légitimes pour harponner les clients, et l’extorsion, à l’aide de logiciels rançonneurs, sont des problèmes omniprésents. La destruction de données ou de matériel constitue du vandalisme, tandis que l’acquisition de numéros de carte de crédit ou la divulgation de renseignements personnels de nature délicate afin d’en tirer un profit financier constitue du vol. On appelle « hacktivisme » tout crime de cette nature commis au nom d’une cause. À cela s’ajoute le crime plus inoffensif de l’intrusion, par exemple une personne qui serait pour jeter un coup d’œil non sollicité sur l’ordinateur d’une autre personne.
La cybercriminalité a un coût pour tout le monde, dans toutes les sphères d’activité. Selon certaines études, la cybercriminalité devrait coûter quelque 445 milliards de dollars à l’économie mondiale. Au Canada, le nombre d’entreprises ayant subi des pertes causées par la cybercriminalité est en augmentation. Dans une étude réalisée l’an dernier auprès de 24 entreprises de tous les secteurs de l’économie, l’Institut Ponemon a évalué à 6 millions de dollars le coût moyen d’une fuite de données, pour un coût moyen de 258 $ par dossier. En 2016, 20 456 dossiers en moyenne ont fait l’objet d’une brèche de sécurité.
D’importantes fuites très médiatisées ont eu lieu ces dernières années. En 2013, la brèche de sécurité Yahoo a touché plus de 3 milliards d’utilisateurs. La brèche de sécurité chez Equifax a touché beaucoup moins de gens, soit seulement 143 millions de personnes, mais cet incident a ébranlé la confiance du public, car ils touchaient l’entreprise chargée de la surveillance de votre crédit après une brèche.
L’incident le plus coûteux a été celui de MyDoom, il y a plus d’une décennie, qui a causé 38,5 milliards de dollars de dommages.
Les brèches informatiques touchent toutes les entreprises, grandes et petites, mais nous n’entendons parler que des cas qui touchent les grandes entreprises, les plus connues. Je tiens à vous parler des petites entreprises canadiennes et des répercussions qu’elles subissent.
Au Canada, 98 p. 100 des entreprises comptent moins de 100 employés, et 74 p. 100 en ont moins de 10. Ces petites et moyennes entreprises emploient 10,5 millions de personnes au Canada, dont 90 p. 100 sont dans le secteur privé, un élément essentiel de notre économie.
Ces entreprises sont les plus vulnérables à l’exploitation par des cybercriminels, étant donné leur manque de ressources financières et humaines pour se protéger efficacement. Les cybercriminels sont organisés et agissent sur plusieurs tableaux. Sur le Web invisible, les logiciels rançonneurs sont maintenant vendus en tant que service.
Le processus est simple. Il s’agit de donner une adresse Bitcoin pour le versement de la rançon, de fixer le montant de la rançon, qui peut être de n’importe quel montant entre 0,01 bitcoin et 1 bitcoin, au maximum. Ensuite, quelques secondes plus tard, un formidable logiciel malveillant vous est livré dans votre boîte de réception. Ensuite, vous le déployez à tous les destinataires d’une liste prédéterminée. Une fois lancé, le logiciel malveillant crypte des fichiers, et les innocentes cibles — ou du moins certaines d’entre elles — paient pour récupérer leurs fichiers. Le modèle d’affaires est très simple. Essentiellement, le criminel reçoit 10 p. 100 de la rançon. C’est pratiquement un réseau de distribution pour logiciels rançonneurs.
C’est d’ailleurs arrivé récemment à l’une de nos chambres de commerce membres du sud-ouest de l’Ontario. Elle a été touchée par une attaque au logiciel rançonneur; quelqu’un a cliqué sur la mauvaise pièce jointe. Ils ont eu l’intelligence de ne pas payer la rançon, mais les coûts ont été importants. On parle ici des coûts liés à l’arrêt des activités, aux services de TI et à l’atteinte à la réputation. En outre, certains fichiers ne pourront être récupérés, en raison du cycle de sauvegarde. Il n’y a pas de solution parfaite.
À l’échelle mondiale, 3,5 millions de courriels sont envoyés chaque seconde, et un courriel sur 40 contient un logiciel malveillant. La menace est réelle. Il convient de se rappeler — et j’espère que vous garderez cela à l’esprit, en tant que décideurs — que les entreprises touchées par la cybercriminalité sont des victimes. Dans les politiques de réglementation visant la protection des renseignements personnels, les entreprises qui ont été piratées sont tenues de le signaler et de réparer les torts, tandis qu’elles sont elles-mêmes en gestion de crise. Le cadre réglementaire devrait être axé sur les auteurs du crime.
Lorsqu’elle évalue les menaces, la CIA tient compte de trois aspects. Premièrement, la confidentialité, soit la capacité de protéger et de maintenir le secret. L’espionnage et le vol de données sont des menaces à la confidentialité. Deuxièmement, la disponibilité, c’est-à-dire le maintien des services et l’accès accordé aux administrateurs pour les réseaux et commandes clés. Les attaques par déni de service et la suppression des données menacent la disponibilité. Le troisième est l’intégrité; il s’agit de vérifier si les logiciels et les données critiques de vos réseaux et systèmes sont compromis avec des codes ou des bogues malveillants ou non autorisés. Les virus et les logiciels malveillants compromettent l’intégrité des systèmes qu’ils infectent.
La Chambre de commerce est axée sur la façon dont les entreprises doivent prendre conscience de cette trilogie, sur l’importance de la cybersécurité en tant qu’exercice vital de la gestion des risques, sur les mesures que peut prendre le gouvernement pour favoriser la sensibilisation et l’engagement et sur les mesures que peuvent prendre les entreprises pour se protéger.
Dans notre rapport intitulé Cybersécurité au Canada : Solutions pratiques à un problème de taille, dont nous vous avons fourni un exemplaire, ou un lien pour le consulter, nous proposons diverses options de politiques que le gouvernement du Canada pourrait mettre en place pour assurer un rôle de chef de file et offrir au milieu des affaires les ressources nécessaires pour maintenir sa compétitivité.
Nous avons été ravis de constater que le budget annoncé cette semaine comprenait diverses mesures que nous avons proposées dans notre rapport. Par exemple, nous avions demandé le regroupement des diverses politiques de cybersécurité au sein d’un seul organisme. Le budget de 2018 contient une proposition en ce sens, en bonifiant le budget du CST de 155 millions de dollars.
Nous avons demandé qu’on accorde plus d’attention à la protection des infrastructures essentielles, et le budget de 2018 comporte un engagement en ce sens. Nous avons demandé des ressources supplémentaires pour combattre la cybercriminalité, et le budget de 2018 accorde à la GRC 116 millions de dollars à cette fin.
Nous avons demandé un appui aux petites entreprises pour la lutte contre les cybermenaces. Le budget de 2018 prévoit 236 millions de dollars pour appuyer une stratégie en matière de cybersécurité comprenant de la formation et un programme de certification en cyberrésilience. Nous aurons bientôt mis en place un programme de certification en cybersécurité au Nouveau-Brunswick. Nous espérons pouvoir bientôt annoncer notre contribution au déploiement de ce programme dans l’ensemble du pays et ainsi encourager les entreprises à participer. Nous avons participé à l’élaboration de ce processus. Nous espérons que le gouvernement acceptera de jouer un rôle dans le programme de certification volontaire.
Dans le budget, nous souhaitions également voir des mesures fiscales permettant la radiation accélérée des investissements dans les systèmes et les logiciels réseau de cybersécurité, mais cette demande est restée lettre morte. Vous pourriez examiner cette solution pour l’avenir. Ce serait bien accueilli dans le milieu des affaires. Nous avons hâte de collaborer avec le gouvernement du Canada à l’élaboration de sa stratégie en matière de cybersécurité.
Je vous remercie de votre attention. C’est avec plaisir que je répondrai à vos questions.
Ron Green, chef de la sécurité, MasterCard : Bonjour. Je vous remercie de l’occasion de comparaître aujourd’hui. Je m’appelle Ron Green et je suis chef de la sécurité chez MasterCard.
Tout d’abord, je tiens à féliciter le comité d’avoir entrepris cette étude. La cybersécurité est l’un des plus grands défis auxquels sont confrontés les gouvernements et les entreprises à l’heure actuelle, ce qui a de graves répercussions pour la sécurité nationale, la stabilité financière et la protection des consommateurs. La cybersécurité est une priorité mondiale absolue chez MasterCard. La sécurité est un principe fondamental qui fait partie intégrante de nos activités dans les plateformes et services technologiques novateurs que nous offrons.
Nous savons que des produits et services sécurisés sont essentiels pour obtenir la confiance de nos consommateurs, de nos clients, de nos détenteurs de carte, de nos commerçants et d’autres partenaires.
Permettez-moi de fournir un peu de contexte. Comme vous le savez sans doute, MasterCard n’émet pas de carte de crédit ou n’a pas de relations directes avec les consommateurs. Les banques ont la responsabilité d’émettre nos cartes. Mastercard est une entreprise technologique, et nous offrons le réseau qui permet aux consommateurs d’utiliser leur MasterCard pratiquement n’importe où dans le monde, dans plus de 210 pays et territoires, et nous traitons les transactions en quelques secondes.
Nous exploitons le réseau de traitement des paiements le plus rapide au monde et relions 2,3 milliards de détenteurs de cartes avec des dizaines de millions de commerçants dans le monde. Pour offrir de la valeur aux banques, les commerçants et les consommateurs qui utilisent notre réseautage, nous devons assurer une sécurité. Nous ne pouvons pas nous permettre des interruptions dans les opérations de notre réseau. Lorsqu’une banque émet notre carte, lorsqu’un consommateur sort la carte de son porte-feuille, ou qu’un commerçant décide d’accepter MasterCard, tous ces intervenants doivent avoir confiance que le réseau sera fiable et solide.
Nous avons un excellent bilan à cet égard. Le réseau de MasterCard a des niveaux de cyberdéfense pour atténuer les risques et protéger le réseau contre le piratage. Nous renforçons constamment la résilience du réseau pour éviter des interruptions de service. Chez MasterCard, nous investissons constamment dans la sécurité. Au cours des trois dernières années, nous avons investi plus de 1 milliard de dollars pour renforcer les cyberdéfenses de notre réseau et pour concevoir des solutions afin de protéger les participants dans l’écosystème des paiements — banques émettrices, acquéreurs, commerçants et détenteurs de carte. Il faut notamment prendre l’initiative d’élaborer de nouvelles normes en matière d’écosystèmes de paiements et de commerce, qui sont constamment révisées en tenant compte de la sécurité. Nous investissons dans l’innovation et nous renforçons nos capacités à l’interne, en faisant l’acquisition d’entreprises technologiques de pointe et en soutenant notre groupe Start Path de jeunes entreprises, en les mettant en lien avec nos partenaires émetteurs pour qu’elles puissent prendre de l’expansion.
Il y a cinq éléments généralement acceptés pour la gestion des risques en matière de cybersécurité. MasterCard les applique des façons suivantes :
Ciblage : nous faisons des choses intéressantes, notamment des vérifications d’identité, que les banques canadiennes ont été parmi les premières à commercialiser. La priorité est d’authentifier l’identité des utilisateurs du réseau.
Protection : la sécurité des dispositifs est essentielle. Avec un système en réseau, tous les dispositifs peuvent être des points d’entrée pour une cyberattaque. Par conséquent, MasterCard a fait l’acquisition l’an dernier de NuData Security, une entreprise de technologie canadienne novatrice qui aide les entreprises à prévenir la fraude en ligne ou par téléphonie mobile. NuData renforce nos capacités, notamment en prévenant les cyberattaques ciblant les appareils des consommateurs, les prises de contrôle de comptes et les frictions en matière de renseignement.
Détection : on vise essentiellement à contrer une attaque avant qu’elle ne survienne. Nous investissons massivement dans l’intelligence artificielle, notamment avec l’acquisition récente de Brighterion, un chef de file mondial du secteur de l’IA, ce qui renforce notre capacité de détecter des attaques complexes. Les solutions d’IA de Brighterion aident MasterCard à trouver la fameuse aiguille dans une botte de foin lorsqu’on doit dépouiller d’énormes quantités de données.
Intervention : pour répondre efficacement aux menaces, l’échange d’information et la collaboration sont essentielles parmi les partenaires de l’industrie, les institutions financières et le FS-ISAC. Aux États-Unis, des équipes de préparation aux cyberurgences, ou CERTS, collaborent avec leurs homologues dans d’autres pays, dont le Canada.
Récupération : Comme d’autres chefs de file de l’industrie, MasterCard élabore et améliore sans cesse des plans de résilience pour s’assurer que nos plans de contingence fonctionnent, au besoin.
Ce plan inclut un moyen automatisé de machine en temps réel à une autre. C’est ce que nous faisons à un très haut niveau.
Permettez-moi maintenant de parler du conseil que nous avons donné aux gouvernements, qui porte sur cinq principaux secteurs.
Premièrement, dans un monde numérique en réseau interrelié, nous avons besoin de solutions en matière de cybersécurité adaptées aux petites et moyennes entreprises. Les cybercriminels trouveront les faiblesses dans le système pour lancer une attaque. Par conséquent, nous devons fournir un cadre pour permettre aux petites entreprises de protéger leurs opérations. MasterCard joue un rôle de chef de file pour défendre les petites et moyennes entreprises en mettant sur pied le Cyber Readiness Institute, qui met l’accent sur l’application pratique d’outils pour les petites et moyennes entreprises. L’institut favorise le perfectionnement de la main-d’œuvre nécessaire pour mettre en œuvre ces outils de gestion de la cybersécurité.
Deuxièmement, les entreprises doivent fréquemment gérer un ensemble croissant de règlements en matière de cybersécurité qui se chevauchent dans différentes instances. Il faut les harmoniser à l’aide d’un cadre de base. Nous sommes au courant des progrès trilatéraux qui sont accomplis dans le cadre de la renégociation de l’ALENA, où nous élaborons un cadre commun pour harmoniser la gestion des cyberrisques, ce qui est encourageant.
Troisièmement, il faut améliorer la gestion et l’authentification de l’identité à mesure que des appareils sont branchés en ligne. Nous avons besoin d’un écosystème d’identités solide pour assurer des opérations numériques plus sécuritaires, ce qui protège la vie privée des détenteurs de carte.
Quatrièmement, avec l’Internet des objets, on aura bientôt 30 milliards d’appareils connectés. Cela crée d’énormes occasions pour l’économie numérique, mais augmente aussi les risques cybernétiques. Par conséquent, les gouvernements et le secteur privé devraient élaborer des normes pour améliorer l’interopérabilité, la détection des cybermenaces et la prévention tout en éliminant les points irritants du commerce.
Enfin, à mesure que les cybermenaces s’intensifient, les gouvernements et le secteur privé sont confrontés à une pénurie d’employés qui possèdent des compétences en matière de cybersécurité. En fait, le monde doit commencer à former la prochaine génération d’experts en cybersécurité, et le gouvernement a un rôle à jouer. Si vous avez des enfants ou des petits-enfants, intéressez-les à la cybersécurité. Ils peuvent gagner beaucoup d’argent dans leur vie, car il y a un besoin maintenant, mais nous n’avons pas les professionnels qualifiés en matière de cybersécurité.
Je pourrais discuter du sujet pendant des heures, mais je n’ai que sept minutes. J’ai offert aujourd’hui un aperçu de ce que nous ferons et de ce que les gouvernements devraient faire, d’après nous. Je dois dire que je sais que le gouvernement canadien travaille à l’élaboration d’une stratégie en matière de cybersécurité. Nous avons participé aux consultations et attendons le déploiement avec impatience. Malheureusement, nous n’avons pas le luxe d’attendre en ce qui concerne les cybermenaces. La collaboration, l’échange de renseignements, la participation de tous les intervenants à la table sont nécessaires pour lutter contre le cybercrime. Le président Obama a mandaté un groupe d’experts sur la cybersécurité dont notre PDG a fait partie. Le groupe d’experts a formulé une série de recommandations. Le CRI, que j’ai mentionné plus tôt, est une ramification directe de l’accent que met le groupe d’experts sur la protection des PME. Je crois que c’est un problème fondamental pour l’avenir de notre économie et de notre société, car il faut y porter une attention et exercer un leadership à des niveaux plus élevés.
MasterCard est disposée à mettre à contribution son expertise pour le gouvernement du Canada à peu près de la même façon.
Je remercie le comité de m’avoir reçu aujourd’hui, et je vous remercie de vos questions.
Le président : Monsieur Green, merci beaucoup. C’était très utile. Nous allons maintenant passer aux questions des sénateurs.
La sénatrice Stewart Olsen : Merci beaucoup de votre présence ici. C’était très instructif.
J’admets que j’ai reçu avec scepticisme l’annonce que le gouvernement a faite hier. Je pense qu’il devra surmonter d’énormes difficultés. Par exemple, c’est un gouvernement qui n’a pas pu gérer un système de paie, alors je ne sais pas comment nous arriverons à gérer la cybersécurité et à fournir des renseignements.
Hier, j’ai soulevé le même point que vous, monsieur Green, concernant le bassin de talents. Il s’agit d’une source importante de préoccupations. Quels conseils auriez-vous à nous formuler? Où peut-on suivre la formation? Qui l’offre? Le gouvernement devrait-il investir davantage dans les universités et collèges communautaires, des établissements qui examinent la question et qui pourraient offrir aux gens la formation nécessaire à ce poste très important?
M. Green : Dans le cadre des activités de l’institut, dont j’ai parlé plus tôt, nous travaillons à divers programmes en collaboration avec le gouvernement américain, y compris la possibilité de créer des stages permettant aux cyberprofessionnels de travailler pendant un certain temps pour le gouvernement pour avoir ensuite la possibilité de travailler pour nous.
Nous travaillons beaucoup avec les universités américaines simplement pour les aider à créer le programme d'études nécessaire pour la formation d’un cyberprofessionnel.
Nous travaillons également avec diverses organisations pour permettre aux gens qui songent à quitter les forces armées, par exemple, de travailler pendant un certain temps avec nous, comme dans le cadre d’un programme d’apprentissage, pour leur permettre d’avoir une idée du travail dans le secteur de la cybersécurité. Il y a de nombreuses options qui s’offrent à vous.
La sénatrice Stewart Olsen : Avez-vous une idée de ce que font les universités canadiennes?
M. Green : Je suis désolé, mais mes connaissances concernant les universités canadiennes sont limitées.
Le sénateur Tannas : Messieurs, merci d’avoir accepté notre invitation. J’aimerais d’abord obtenir les commentaires de M. Smith, et les autres témoins pourront intervenir par la suite, s’ils le souhaitent, sur les sommes investies pour poursuivre en justice ceux qui commettent ces crimes.
Selon les témoignages que nous avons entendus, ces crimes totalisent des milliards de dollars, et ce ne sont que les crimes qui sont rapportés sachant que ce n’est que la pointe de l’iceberg. La plupart des gens ont trop honte pour signaler ces crimes, ou les sommes volées sont trop petites ou trop importantes, ce qui constitue une autre source de honte.
À mon avis, il devrait être plus facile de traquer ces gens, ce qui me porte à croire que l’effort est insuffisant. Je sais que le gouvernement a promis d’investir 116 millions de dollars au cours des cinq prochaines années, soit 24 millions de dollars par année — probablement en fonction de l’effectif, 250 agents de plus, par année, pour traquer ces criminels. Est-ce suffisant? L’effort est-il suffisant? Je comprends que nous déployons suffisamment d’effort au sens large et qu’il s’agit d’une question de sécurité nationale, mais déployons-nous suffisamment d’effort pour traquer les petits voleurs, ceux qui s’achètent une petite entreprise criminelle avec 0,1 bitcoin? Est-ce que 24 millions de dollars par année, c’est suffisant?
M. Smith : Je dirais d’abord que, non, ce n’est probablement pas suffisant et ce ne le sera jamais. Le plus gros défi pour les autorités policières, c’est que pour traquer et trouver ces cybercriminels, il faut penser comme un criminel. À ma connaissance, on n’enseigne pas aux gens à penser comme des criminels. C’est donc une tâche importante qui les attend.
À mon avis, le plus important pour la communauté des affaires et les particuliers, c’est de se protéger eux-mêmes, dans une certaine mesure, et de prendre les mesures nécessaires pour ne pas devenir une cible. La réalité, c’est que la plupart des individus qui commettent ces petits cybercrimes, par exemple, les rançongiciels de moins de 5 000 $, ne sont pas vraiment sophistiqués et les logiciels qu’ils utilisent ne le sont pas non plus. Ils sont relativement faciles à bloquer si l’on sait qu’il ne faut pas cliquer sur les courriels en question et si l’on a en place un système de réserve adéquat pour récupérer ses informations, si jamais on clique sur le courriel. C’est une question de résilience. Pour revenir à votre question, est-ce suffisant pour traquer tous les petits criminels? Non, mais il est probablement plus important de s’attaquer aux problèmes liés à l’infrastructure critique, par exemple. C’est la première chose qu’il faut régler.
Le sénateur Tannas : Je suis toujours frustré d’entendre que c’est soit l’un, soit l’autre. Pourquoi ne pourrait-on pas faire les deux? Je me souviens du maire Giuliani, à New York, qui s’est attaqué à la fois à la mafia et à Monsieur Tout-le-monde qui crache dans la rue. C’est ainsi que New York est passée d’un trou à un endroit merveilleux que nous aimons tous visiter. Je me souviens de l’époque où c’était le contraire. Est-ce qu’on ne manque pas le bateau? Les petits criminels ne deviennent-ils pas de grands criminels?
M. Smith : Je crois qu’il faut traquer les crimes plus importants.
Autrement dit, si vous suivez l’argent, vous verrez qu’il y a de grandes entreprises criminelles derrière ces petits crimes. Il faudrait s’attaquer à ces entreprises.
Pour revenir à votre question, à savoir si 24 millions de dollars ou 250 nouveaux agents est suffisant, je dirais probablement que non. Toutefois, nous devons travailler plus étroitement avec les autres autorités policières du monde. Ce n’est pas un problème canadien; c’est un problème mondial.
M. Green : J’ai visité récemment la FBI CISO Academy. Tout comme les tueurs en série, les pirates informatiques ont un passé. Un analyste en comportement peut donc analyser le pirate informatique et déceler ses tendances.
À mon avis, le problème en ce qui a trait à l’application, c’est le manque d’agents formés. Il s’agit de quelque chose de totalement différent et de nouveau. Il faut donc beaucoup de formation pour être à jour. Ensuite, il y a le pirate informatique qui travaille — il s’agit d’un crime international. Même pour les petits crimes, il faut franchir des frontières internationales. Il peut donc être difficile pour les agents locaux qui enquêtent sur de petits crimes d’établir des partenariats avec d’autres pays, surtout les pays où il est plus difficile de trouver les méchants.
Le président : Sénateur Dagenais, avant d’amorcer votre intervention, assurons-nous que les écouteurs fonctionnent et que l’interprétation est prête.
Le sénateur Dagenais : Je parle anglais, mais je préfère m’exprimer en français.
[Français]
Ma première question s’adresse à M. Green. Souvent, lorsqu’il y a eu tentative de fraude avec une carte de crédit, il est possible que l’on doive réduire l’utilisation de la carte pendant une certaine période de temps. Évidemment, cette intervention, qui peut s’avérer dérangeante pour le consommateur, est tout de même nécessaire. Monsieur Green, pour le bien des consommateurs, pouvez-vous nous dire à quel moment une tentative de fraude à l’aide d’une carte de crédit devient une cyberattaque? Avez-vous une politique qui vise à informer les victimes potentielles d’une cyberattaque? On sait que plusieurs personnes — moi y compris — sont victimes d’une tentative de fraude sur leur carte de crédit, sans que ce soit une cyberattaque. Cependant, il doit y avoir un moment où vous vous rendez compte qu’il ne s’agit pas seulement d’une tentative de fraude, mais bien d’une cyberattaque, et que vous devez informer vos clients.
[Traduction]
M. Green : Quelques points me viennent à l’esprit. D’abord, lorsqu’il s’agit d’une fraude, nous informons l’émetteur ou lui offrons des solutions pour l’aider à identifier la fraude potentielle sur la carte — c’est la situation que la plupart des gens vivent. Lorsqu’il s’agit d’une infraction plus importante, que nous identifions le point de compromission attaqué, nous ne communiquons pas avec les consommateurs. C’est l’organisation la victime, et c’est donc à elle que revient la responsabilité de communiquer avec les clients. C’est elle qui doit communiquer avec ses clients pour les informer qu’ils ont été victimes de cette infraction et que leur information a été compromise et que, pour cette raison, leur carte est à risque.
Nous ne nous chargeons pas de cette communication. Nous aidons à identifier le point de compromission, mais il revient à la victime de communiquer avec ses clients.
[Français]
Le sénateur Dagenais : Monsieur Gordon, pouvez-vous nous donner des exemples de produits de cybersécurité et nous dire s’ils sont à la portée des petites entreprises dont les budgets pour se les procurer sont moins vastes?
[Traduction]
M. Gordon : Oui. Ils finiront par l’être. Nous travaillons à l’élaboration de certains produits bien précis pour les petites entreprises qui ne disposent pas d’une importante infrastructure de TI. Ce sont des produits qui répondent à leurs besoins. Si nous leur offrons des produits qui pourraient leur être pratiques, ils les utiliseront. Cela ira bien avec certains des efforts déployés par M. Smith relativement au programme Cyber Essentials. Je crois que les deux iront de pair en matière de réglementation et d’orientation, d’un côté, et de l’autre côté, pour la formulation de conseils pratiques pour aider les petites entreprises qui, comme je l’ai dit, ne disposent pas d’une importante infrastructure de TI ou de l’expertise nécessaire. Donc, oui, nous travaillons à l’élaboration de ce genre d’outils et de petites entreprises commencent à se joindre à nous.
Le sénateur Wetston : Je pense que le sénateur Tannas a abordé la question hier. Je fais peut-être erreur, mais je pense qu’hier, nous traitions des institutions des marchés financiers et entendions des témoins. Il me semble que c’est vous, sénateur Tannas, qui avez évoqué les attaques potentielles contre d’autres infrastructures, comme les installations hydroélectriques et nucléaires et les infrastructures de télécommunication. Était-ce vous, ou est-ce que je me trompe?
Le sénateur Tannas : Vous vous trompez.
Le sénateur Wetston : Si c’était vous, c’était une excellente question.
Je veux continuer sur la question avec vous, car le sujet soulève d’autres interrogations.
Par exemple, monsieur Green, quel rôle jouez-vous au sein de la structure de paiement? Faites-vous l’objet d’une surveillance de la part d’un organisme de réglementation au chapitre du système de paiement au Canada ou aux États-Unis? Voilà une deuxième question à laquelle vous pourriez réfléchir avant que j’en arrive à la première.
Collectivement, que pensez-vous de la cybersécurité et des cyberattaques relatives aux infrastructures au-delà des institutions?
M. Gordon : Je pense qu’il est essentiel que nous examinions la situation d’un point de vue holistique. C’est une des raisons pour lesquelles l’Échange canadien de menaces cybernétiques est structuré comme il l’est, en réunissant toutes les entreprises, car l’attaque qui visera un hôpital ou une université s’apparentera à celle qui ciblera une petite entreprise ou une institution financière. Il faut donc absolument que tous les secteurs travaillent ensemble, car les attaquants ne font aucune distinction entre une institution financière ou un autre genre d’entreprise.
Sachez en outre que les attaquants exploitent la chaîne d’approvisionnement pour s’en prendre à diverses entreprises, s’attaquant au maillon faible, comme la petite entreprise qui fournit des services à une multitude de secteurs. Nous devons impérativement adopter une approche holistique. Les attaquants sont à l’affût d’une porte facile à forcer, puis ils s’infiltreront dans le système. Nous devons protéger toutes les entreprises.
M. Smith : De l’autre côté de l’équation, il y a les infrastructures essentielles que vous évoquez : les hôpitaux, les installations hydroélectriques et nucléaires, les infrastructures routières, les feux de circulation et j’en passe. Tout cela aura une incidence sur les coûts d’affaires. Autrement dit, il faut s’assurer de pouvoir travailler dans un environnement concurrentiel, et si on ne peut pas allumer les lumières ou avoir accès à de l’eau de qualité, le milieu de travail s’en trouve subitement affecté et tout le monde est touché.
Le sénateur Wetston : Le lien entre la nécessité d’assurer la cyberrésilience et le besoin de pouvoir exploiter son entreprise est de toute évidence important.
Monsieur Green, je vous ai interrogé sur votre rôle dans le système de paiement, mais peut-être n’en avez-vous pas. Mais pouvez-vous nous parler du fonctionnement de votre entreprise, où vous devez sûrement investir des centaines de millions de dollars pour assurer la cybersécurité et la sécurité des systèmes? Ce chiffre est peut-être excessif, mais je suis certain que la somme est substantielle. Avez-vous des observations à formuler à ce sujet?
M. Green : Quand vient le temps d’investir dans la sécurité, il ne m’est jamais arrivé de ne pas pouvoir acquérir de nouvelles capacités que nous jugions importantes pour MasterCard. Nous dépensons beaucoup et nous continuerons de dépenser davantage. Notre directeur général s’est montré très sérieux et on ne peut plus clair à ce sujet.
En fait, il m’a posé une question semblable pour s’assurer que nous entretenons des liens étroits avec les secteurs indépendants, comme ceux de l’électricité et des télécommunications. Si nous sommes à la disposition des clients, mais que ces derniers ne peuvent se connecter, parler entre eux ou alimenter leur entreprise en électricité, il nous sera difficile de faire ce qu’il faut pour eux.
Vous nous avez également demandé si nous sommes réglementés et si des organes nous supervisent. La réponse est oui. Chaque année, le Federal Financial Institutions Examination Council évalue ce que nous faisons pour MasterCard. D’autres pays font la même chose. Voilà où l’harmonisation des exigences réglementaires nous aide beaucoup.
Même si conformité n’est pas synonyme de sécurité, nous devons comprendre que nous satisfaisons aux exigences; ce sont les choses que nous devons faire. S’il existe 25 manières de procéder, je passerai mon temps à chercher à satisfaire aux exigences, puis à améliorer la sécurité de l’organisation.
Le sénateur Wetston : J’ai un certain nombre de questions. Je voudrais essayer de les poser, si possible, et nous tiendrons peut-être un deuxième tour.
Alors que nous réfléchissons à notre rapport et à la manière dont nous pourrions contribuer utilement à informer le public et prodiguer des conseils au gouvernement, qui continue d’élaborer des règles, des règlements et des exigences au sujet de la cybersécurité, je me souviens d’avoir entendu, au cours d’une conférence TED, un physicien qui affirmait que si on est un algorithme, on est promis à un bel avenir. Cela revient presque à ce que vous dites sur le fait qu’il faut pouvoir s’éduquer ou travailler dans le domaine de la sécurité.
Cependant, si on pense à la cybersécurité et à l’écosystème dans son ensemble, lequel comprend l’intelligence artificielle, les mégadonnées et l’interconnexion — sur lesquelles portera ma deuxième question et auxquelles j’arriverai dans un instant —, que pensez-vous de la cybersécurité dans cet écosystème et de toutes ces choses qui continuent de transformer l’économie au Canada, aux États-Unis et dans le monde? J’aimerais entendre chacun d’entre vous si vous avez un commentaire à formuler.
M. Smith : Selon moi, il faudrait probablement tenir une discussion élargie sur l’Internet des objets ou de tout, pour reprendre l’appellation qu’utilisent certaines entreprises pour parler des milliards d’appareils déployés qui n’ont pas été nécessairement conçus avec la sécurité en tête, comme la domotique, l’intelligence artificielle ou, au moins, l’apprentissage machine. Je pense que c’est là un des défis les plus importants que nous aurons à relever au cours des 10 prochaines années. À mesure que l’évolution, le déploiement et l’ubiquité deviennent de plus en plus courants, les manières de pénétrer les systèmes se multiplieront. Tout ce qui est connecté à ces appareils pose tout à coup un risque, et je pense que nous devons commencer à réfléchir un peu plus attentivement au risque.
M. Green : La cybersécurité devrait, à l’instar de l’air qu’on respire, faire partie de tout ce que l’on fait. Les technologies que nous inventons et déployons visent à faciliter la vie des êtres humains. Cependant, comme Scott l’a souligné, nous déployons souvent des dispositifs sans penser à leurs conséquences sur la sécurité. Nous devons toujours avoir cette dernière à l’esprit quand nous concevons de nouveaux appareils, car quelqu’un s’en emparera et en décèlera les faiblesses si nous ne les avons pas détectées.
M. Gordon : La cybersécurité offre également une occasion économique. Comme vous l’avez indiqué, sénateur, nous nous intéressons aux mégadonnées et à leur traitement. Les données sont maintenant devenues la nouvelle devise, et quiconque bénéficie d’un environnement permettant de les gérer en toute sécurité dispose d’un avantage concurrentiel sur ceux pour qui ce n’est pas le cas.
Je pense que le Canada fait bonne figure à cet égard, puisqu’il peut compter sur de nombreuses nouvelles entreprises talentueuses dotées d’une solide expertise dans le domaine de la cybersécurité. Nous avons le bassin de talent et les fondements législatifs permettant de protéger la vie privée. Nous comprenons tout cela. Nous bénéficions donc d’une occasion formidable. Oui, nous devons agir pour protéger notre entreprise, mais la cybersécurité représente aussi une occasion d’affaires pour l’ensemble du pays.
Le sénateur Tkachuk : Je n’ai que quelques questions sur l’accès. J’ai été victime d’un certain nombre de fraudes par cartes de crédit, notamment de la part d’un homme qui effectuait des achats de 10 ou 20 $ dans un 7-Eleven ou un commerce quelconque. J’ai reçu un appel de Visa. L’autre fraude, plus grave, s’élevait à quelque 3 600 $. Comme je consulte mes cartes de crédit sur Internet presque aux deux jours, je m’en suis rendu compte immédiatement, mais le fraudeur passait par l’entremise d’un compte Facebook.
Comment ces cartes de crédit… Sont-elles vendues par un employé de l’entreprise qui se fait de l’argent en refilant l’information obtenue d’un commerce où je me suis rendu, ou est-ce à cause d’une cyberattaque de grande envergure dont je n’ai pas entendu parler? À quel endroit la plupart de ces fraudes sont-elles commises? De quelle façon sont-elles commises?
M. Green : Une grande partie des données se retrouvent dans l’écosystème de fraude à la suite d’atteintes majeures, c’est-à-dire lorsqu’on porte atteinte à la cybersécurité d’un grand commerçant ou d’un processeur, qu’on saisit l’information de la carte, qu’on la fractionne et qu’on la vend sur le Web invisible. Mais au fil du temps, les copieurs de carte se sont emparés de nombreuses données. Les cybercriminels ou les malfaiteurs ont utilisé différentes méthodes pour recueillir l’information.
Si on pense aux améliorations technologiques, comme la technologie EMV, qui décourage la saisie de la bande magnétique, et à ce que nous faisons avec les nouvelles données, on comprend que cela permet de créer de nouvelles façons de protéger l’information utilisée dans une transaction pour limiter l’accès aux données qui peuvent être marchandisées et vendues sur le Web invisible.
Le sénateur Tkachuk : Vous montrez-vous durs envers… Autrement dit, à titre d’exemple, un marchand donnait de l’argent au moyen d’une carte de crédit ou d’un numéro de carte de crédit. Je ne sais pas comment la transaction s’est faite. De toute évidence, il n’avait pas ma carte de crédit. C’est moi qui l’avais. Par conséquent, soit qu’il en avait le numéro, soit qu’il avait l’information sur la carte.
Le marchand est-il puni? Comment procède-t-on? C’est manifestement un complice; l’employé et la personne à qui il a remis l’argent travaillent ensemble.
M. Green : S’ils sont complices, c’est alors un acte criminel, et nous travaillerons avec les organismes d’application de la loi et les banques émettrices pour faire la bonne chose, s’ils ont pris part au stratagème. Ce n’est généralement pas le cas. Cela consiste surtout à recourir à des moyens frauduleux pour présenter les renseignements de la carte de crédit dans le but d’obtenir un service ou des biens.
Le sénateur Tkachuk : Sont-elles reproduites? La carte est-elle reproduite? Autrement dit, est-ce une fausse carte avec un numéro qui est insérée dans une machine, ou la personne se contente-t-elle de donner les chiffres en échange d’argent? Comment procède-t-on?
M. Green : Il y a beaucoup de cartes contrefaites. C’est la raison pour laquelle le recours à la technologie EMV et aux paiements numériques à l’aide d’appareils mobiles offre un nouveau moyen de réduire l’utilisation de cartes contrefaites. Donc, oui, les malfaiteurs se servent de cartes contrefaites dans les commerces pour commettre leur crime.
Le sénateur Tkachuk : Je vais poser quelques questions sur les courriels, car c’est ainsi que le contenu malveillant entre dans l’ordinateur.
Je pense que beaucoup de personnes font la même chose. Je supprime tout ce que je ne reconnais pas tout à fait, ce qui signifie que je supprime beaucoup d’information que je devrais recevoir, et seulement parce que j’ai peur de ce qui peut arriver.
Comment pouvons-nous surmonter le problème? Devrions-nous utiliser de nouveau des télécopieurs pour nous protéger? Il doit y avoir un moyen. Cela devient de plus en plus courant, et j’ignore s’il y a un moyen d’y mettre fin. Je sais ce que vous essayez tous de faire et tout le reste, mais les criminels font preuve de génie et trouvent des moyens d’arriver à leurs fins. S’ils veulent infecter des ordinateurs, ils volent de l’information, ils font du chantage, ils obtiennent des dossiers bancaires — et des photos intimes s’il y en a — et tous ces renseignements deviennent publics. Aidez-moi à comprendre.
M. Smith : Je vais d’abord dire que j’aimerais que vous gériez ma boîte de réception, car la suppression de messages n’est pas mon fort.
Je tiens ensuite à mentionner que dans tous les courriels que nous recevons qui contiennent des logiciels malveillants, il y a toujours un lien. Lorsque vous le survolez, vous voyez l’adresse URL, et vous savez que vous voulez vous tenir loin. C’est habituellement évident. C’est une question de sensibilisation.
Nous devons faire attention de ne pas confondre la situation des particuliers avec celle des entreprises, car ce n’est pas tout à fait la même chose. Une fois qu’une entreprise est menacée, les conséquences peuvent être beaucoup plus graves étant donné que tous ses employés seront touchés.
L’autre chose qu’il ne faut pas oublier, c’est qu’une grande partie des atteintes à la sécurité dans une entreprise se produisent à cause de circonstances à l’interne. Soit que quelqu’un a cliqué sur la mauvaise chose, soit que le malfaiteur est sur place. Il doit donc y avoir une sorte de sensibilisation des employés, et nous devons trouver les outils pour nous attaquer au problème.
À propos de ce que vous avez dit concernant les courriels et leur apparence, ils sont de plus en plus subtils. Dans une entreprise, on peut croire qu’ils viennent du PDG ou du service des finances, qui vous demande de signer quelque chose. Donc, ce n’est même plus des logiciels; cela consiste plutôt à demander de l’argent pour quelque chose.
M. Green : Soixante-dix pour cent des atteintes majeures à la sécurité qui font les manchettes sont le résultat d’une attaque par hameçonnage ou par hameçonnage ciblé, comme vous l’avez décrit. Nous avons donc des niveaux de contrôles à gérer ainsi que les courriels, mais certains malfaiteurs réussissent quand même à se faufiler. Nous dépendons des employés qui doivent faire la bonne chose.
Nous veillons à ce que les employés sachent que la protection de MasterCard ne dépend pas seulement de l’équipe de sécurité. Tous les employés sont responsables de protéger l’entreprise.
De plus, nous avons récemment autorisé le recours à des mesures disciplinaires progressives contre les personnes qui cliquent à répétition sur des liens malveillants et qui infectent des machines dans notre milieu, ce qui peut mener au congédiement. Après trois prises, c’est le renvoi.
Le président : J’ai quelques brèves questions avant de passer au deuxième tour, si je peux me permettre. Je suis curieux de savoir si l’un de vous peut m’indiquer un pays qui a maintenant recours à des pratiques exemplaires pour gérer ce genre de problèmes.
M. Gordon : La situation peut être abordée de différentes façons. Il ne fait aucun doute que certains pays ont investi des sommes considérables dans la mise au point de technologies. Israël est un bon exemple de pays qui incube les petites entreprises qui sont nouvelles dans le secteur cybernétique. Pour ce qui est des normes, les États-Unis sont le chef de file mondial grâce au National Institute for Standards qui offre d’excellents produits et de bons conseils. En fait, le Canada adopte beaucoup des mêmes pratiques. Le Royaume-Uni fait quant à lui un travail intéressant en fusionnant ce qui est offert par le gouvernement avec certaines normes de travail destinées aux PME. C’est un mélange. Vous devriez adopter les pratiques exemplaires de plusieurs de ces pays. Je crois que les trois que j’ai mentionnés sont très bons.
M. Green : Les pratiques des pays dont Robert a parlé sont des choses auxquelles je réfléchis. Je crois que ce qui est le plus utile pour moi à titre de protecteur d’une organisation, ce sont les collaborations entre le gouvernement et l’industrie. Je suis d’avis que, aux États-Unis, dans le cadre de partenariats comme le FS-ISAC ou lorsque le gouvernement est un acteur important, nous avons beaucoup à apporter en tant qu’entreprises distinctes. Cela nous permet de prendre des mesures comme l’envoi de dirigeants de mon équipe dans une autre entreprise. À titre d’exemple, Canadian Tire est membre du FS-ISAC. Nous y envoyons nos dirigeants pour qu’ils comprennent ce que l’entreprise fait pour se protéger. Nous en tirons des leçons. Canadian Tire nous envoie ensuite ses dirigeants pour qu’ils apprennent de notre milieu. De nombreuses occasions s’offrent aux gouvernements qui collaborent étroitement avec des intervenants de l’industrie, et je pense que les États-Unis le font assez bien.
Le président : C’est un point essentiel à retenir. Merci beaucoup. C’est utile.
M. Smith : Je ne pense pas avoir quelque chose à ajouter. C’était détaillé.
[Français]
Le sénateur Dagenais : Ma question s’adresse aux trois témoins. Savez-vous comment les auteurs de cyberattaque réussissent à élaborer des outils pour réussir une cyberattaque et, le cas échéant, qui leur fournit ces outils?
[Traduction]
M. Green : Ils procèdent de différentes façons. Dans le cas des attaques menées récemment, les pirates ont même utilisé des outils qu’ils avaient volés à des États-nations. Les pannes causées par WannaCry, Petya et NotPetya passent par une technologie volée à la NSA. À l’instar des sociétés et entreprises qui créent des outils innovateurs pour accomplir certaines choses, différents groupes travaillent de concert pour créer des outils innovateurs pour exploiter le système. Quand une entreprise décèle une vulnérabilité, elle dispose d’un certain laps de temps pour atténuer les risques avant que les pirates ne trouvent un moyen d’exploiter la faille à grande échelle, et qu’ils tentent une attaque.
M. Gordon : En bref, la réponse est que c’est devenu une industrie. Les auteurs de cyberattaques apprennent les uns des autres. Ils s’échangent des techniques sans arrêt. S’ils réussissent à attaquer une entreprise, ils envoient leur truc à tous les autres pirates. C’est devenu une véritable industrie. Comme M. Green le mentionnait, perfectionner leurs outils est leur nouveau modèle d’affaires.
M. Smith : Il en a été question plus tôt, mais j’ajouterais simplement que le maillon le plus faible semble être le chemin à suivre pour atteindre la cible la plus intéressante. Les pirates suivent la chaîne de valeur, en visant d’abord les petites entreprises qui n’ont pas les moyens de prévenir ni de reconnaître ces attaques. Ils obtiennent ainsi des renseignements qui leur permettent d’exploiter les connexions réseau et d’atteindre les grandes entreprises. C’est une des réalités avec lesquelles nous devons composer.
Le sénateur Wetston : J’aimerais y aller d’une analogie sportive. On dirait que la cybersécurité joue uniquement en zone défensive. Qu’en est-il de l’offensive?
M. Smith : Les gouvernements ont accès à différents outils, et le gouvernement du Canada ne fait pas exception. Par exemple, la Loi antiterroriste, surtout connue comme le projet de loi C-51 et adoptée en 2015, permet à la GRC et au CSTC de passer à l’offensive face aux cybercriminels, en les infectant eux-mêmes d’un virus. C’est peut-être un outil dont nous devrions nous servir davantage.
M. Gordon : Le projet de loi à l’étude devant le Parlement permettrait d’élargir les pouvoirs du CST à cet égard. Il serait ainsi autorisé à agir de manière offensive.
M. Green : Vous avez raison, la cybersécurité se joue en zone défensive. Nous devons bloquer tous les tirs, alors que les pirates n’ont qu’à marquer une seule fois. Il serait possible de travailler avec les gouvernements pour déterminer où se situe la limite acceptable pour les mesures offensives. Nous ne passerons pas à l’offensive, mais les entités gouvernementales pourraient le faire pour protéger nos avoirs.
Le sénateur Wetston : Ma prochaine question porte sur les activités transfrontalières. Vous êtes partout dans le monde. Nos marchés commerciaux et financiers donnent lieu à une multitude de transactions transfrontalières. Est-ce que la cybersécurité au Canada est moins rigoureuse qu’aux États-Unis? Je vous mets sur la sellette, mais ce n’est pas dans le but de mettre votre loyauté à l’épreuve.
M. Green : J’ai grandi aux États-Unis et je travaille dans le secteur financier depuis longtemps. Le secteur financier a subi tellement d’attaques qu’il n’a eu d’autre choix que de s’adapter rapidement; c’est la sélection naturelle à l’œuvre.
Le sénateur Wetston : Je ne veux pas vous mettre dans l’embarras, mais pourriez-vous nous donner une petite idée?
Le président : Vous l’avez déjà fait.
Le sénateur Wetston : Dans un contexte transfrontalier, ce serait utile si nous pouvions être sur la même longueur d’onde ou avoir à peu près la même capacité. Pour MasterCard, une société internationale qui traite de nombreuses transactions transfrontalières entre le Canada et les États-Unis, entre autres, j’imagine que ce serait souhaitable.
M. Green : L’interconnectivité offre de nombreux avantages. Étant en mesure de voir les transactions effectuées à l’échelle internationale, nous pouvons protéger des choses qui ne sont même pas aux États-Unis. Par exemple, notre filet de sécurité nous avertit lorsqu’un pirate a pris le contrôle d’un processeur et qu’il s’apprête à encaisser d’importantes sommes. Nous pouvons intercepter de telles commandes, car nous voyons ce qui se passe partout dans le monde. Cette interconnectivité nous aide à protéger nos clients, qu’ils soient au Canada, en Afrique ou ailleurs.
Le président : Bien répondu, monsieur Green.
Messieurs, vos témoignages ont été extrêmement utiles. De toute évidence, vous êtes arrivés fin prêts à la séance d’aujourd’hui, et nous vous en sommes très reconnaissants. Nous avons pris bonne note de vos commentaires. Merci beaucoup.
J’ai le privilège et le plaisir d’accueillir des représentants du Fonds monétaire international, qui répondront aux questions du Comité sénatorial permanent des banques et du commerce. Souhaitons la bienvenue à Cheng Hoon Lim, sous-directrice et chef de mission pour le Canada, Département hémisphère occidental, Fonds monétaire international, ainsi qu’à Troy Matheson et Kotaro Ishi, tous deux économistes principaux.
Nous avons eu la chance d’étudier votre dernier rapport sur le Canada, et nous sommes très intéressés à entendre vos commentaires. N’ayez pas peur de nous donner l’heure juste.
La parole est à vous.
Cheng Hoon Lim, sous-directrice et chef de mission pour le Canada, Département hémisphère occidental, Fonds monétaire international : Nous sommes ravis d’être ici ce matin pour vous présenter le point de vue du FMI en ce qui a trait aux perspectives de croissance du Canada pour 2018-2019. Avant d’entrer dans le vif du sujet, je crois qu’il serait utile de récapituler brièvement les développements économiques de 2017.
Les données du quatrième et dernier trimestre de 2017 seront rendues publiques demain, mais nous nous attendons à une clôture positive, puisque le Canada a enregistré un taux de croissance de près de 3 p. 100, se positionnant ainsi en tête des pays du G7. Le premier semestre de 2017 a été supérieur au deuxième, mais globalement, la confluence des politiques expansionnistes, fiscales et monétaires, de la solidité de l’économie américaine et de la stabilité des prix du pétrole a donné lieu à des résultats positifs.
La consommation privée continue d’être le principal moteur de la croissance. Cet élan devrait ralentir en 2018-2019 avec le resserrement des leviers politiques. Nous projetons un ralentissement de la croissance du PIB, qui devrait passer à 2,3 p. 100 en 2018, et à 2 p. 100 en 2019. Encore là, la croissance économique surpassera la capacité. Nos projections se basent en grande partie sur la croissance présumée de l’économie américaine. Notre hypothèse veut que la baisse de l’impôt des sociétés aux États-Unis, qui passera de 35 à 21 p. 100, et la passation en charges immédiate des investissements, auront un effet positif sur la demande au Canada. L’économie américaine connaîtra une croissance accrue, ce qui aura pour effet d’augmenter la demande en exportations canadiennes et réduire le déficit actuel. Dans l’ensemble, nous prévoyons que la réduction fiscale des États-Unis contribuera à une hausse de 0,3 p. 100 de la croissance canadienne en 2018-2019.
La deuxième grande hypothèse soutenant nos prévisions de base concerne les investissements.
Nous prévoyons une reprise des investissements non résidentiels. Comme vous le savez, les investissements avaient connu une baisse pendant deux années consécutives, soit en 2015-2016. Le placement d’entreprise a repris pour la première fois l’an dernier depuis cette période. Nous prévoyons une reprise graduelle des investissements, et cette reprise pourrait être ralentie par l’incertitude entourant l’ALENA et la hausse probable des taux d’intérêt au cours des deux prochaines années.
Notre troisième hypothèse porte sur les exportations pétrolières. Nous prévoyons qu’elles représenteront une part assez constante du PIB au cours de la période projetée. Nous présumons que le prix du baril de pétrole se situera entre 50 et 60 $, et les contraintes associées aux pipelines et aux autres modes d’approvisionnement ne devraient pas avoir une grande incidence sur l’écart entre le prix du Western Canadian Select et le prix de référence mondial. Nous prévoyons que les investissements dans le secteur pétrolier resteront au même niveau au cours de la prochaine année.
Quatrièmement, nous nous attendons à une hausse des taux d’intérêt en réaction à la pression inflationniste. Cela entraînera un ralentissement des dépenses de consommation, parallèlement à une hausse des frais de service de la dette. De la même façon, nous prévoyons que la hausse des taux d’intérêt, combinée à des politiques macroprudentielles strictes, pourrait freiner les investissements résidentiels.
Et finalement, nous présumons que les politiques fiscales resteront généralement neutres, le déficit fédéral s’élevant à moins de 1 p. 100 du PIB.
Voilà donc essentiellement nos prévisions de base pour 2018 et 2019. Comme vous pouvez le constater, à court terme, les perspectives sont encourageantes, principalement en raison de la forte économie américaine, qui aura des retombées positives pour la demande au Canada.
Cela dit, une grande incertitude plane, notamment pour les hypothèses concernant l’ALENA, la réforme fiscale américaine, l’endettement des ménages et le marché de l’habitation. Permettez-moi de passer en revue ces trois sources potentielles d’incertitude.
Vous le savez, le septième cycle de négociations de l’ALENA est en cours à Mexico. Bien que d’importants progrès aient été faits en vue de la modernisation de l’ALENA, entre autres par l’inclusion du commerce numérique et électronique, plusieurs dispositions proposées par les États-Unis sont sources de litiges importants dans les négociations. Je note par exemple les exigences relatives au contenu américain obligatoire dans le secteur automobile, l’élimination du cadre de règlement des conflits, l’imposition d’un plafond sur l’approvisionnement public, et l’instauration d’une clause de temporisation de cinq ans.
Donc, le climat d’incertitude entourant l’ALENA, que l’issue soit positive ou négative, influe déjà sur l’opinion des investisseurs au Canada. En l’absence d’une nouvelle entente, ou à tout le moins d’avoir un résultat un tant soit peu positif comme nous le voyons aujourd’hui, l’investissement pourrait s’en ressentir pendant une assez longue période. En résumé, nos projections en matière d’investissement comportent des risques baissiers.
Un autre facteur contribue à l’incertitude liée à l’investissement, et c’est la réforme fiscale des États-Unis.
Nous nous attendons à ce que la réforme fiscale des États-Unis vienne stimuler l’économie américaine et qu’elle ait des retombées positives pour la demande au Canada, puisque les Américains achèteront plus de biens et de services canadiens. Cependant, il est possible que cette réforme prévoie des mesures allant au-delà des simples baisses d’impôt, et qu’elle profite aux États-Unis au détriment du Canada, qui pourrait perdre une part des profits et de la production. Et nos projections ne tiennent pas compte de ce facteur.
Il est extrêmement difficile d’évaluer de tels effets, mais, si ces changements viennent entraver la compétitivité du Canada, on pourrait assister à un exode d’investisseurs vers les États-Unis. C’est donc un autre risque baissier à prendre en compte à cet égard.
Finalement, comme je le disais tout à l’heure, la consommation est véritablement la principale force motrice de la croissance économique du Canada depuis quelques années. Les placements d’entreprise sont peu reluisants, et les exportations de produits non énergétiques n’ont pas connu la hausse attendue, compte tenu de la dépréciation du dollar canadien.
La consommation privée et les investissements résidentiels sont ainsi les principales sources de croissance pour nos perspectives de 2018-2019, et ces deux éléments sont déterminés par l’état du marché de l’habitation. L’endettement des ménages étant toujours à la hausse — et je crois qu’il a gagné trois points de pourcentage en 2017 seulement, pour atteindre 173 p. 100 du revenu disponible —, les ménages sont davantage vulnérables au chômage ou à la hausse soudaine des taux d’intérêt. Une correction drastique du prix des maisons va ainsi freiner la croissance du marché de l’habitation, miner la confiance du consommateur, entraîner la hausse des coûts d’emprunt, de même que ralentir les dépenses de consommation et les investissements résidentiels.
Si la correction du marché de l’habitation s’accompagne d’une grave récession, le bilan des banques pourrait s’en trouver affaibli, entraînant un cercle vicieux néfaste pour l’économie.
Cela représente un autre risque de baisse dans nos perspectives de croissance pour 2018-2019. La bonne nouvelle est que les politiques macroprudentielles commencent à faire effet et à ralentir l’activité immobilière. Toutefois, il faudra peut-être atteindre plusieurs années avant de voir une atténuation importante des vulnérabilités, vu l’ampleur de l’endettement.
Je m’arrête ici. Nous serons heureux de répondre aux questions des sénateurs.
Le président : Merci beaucoup. C’est un excellent tour d’horizon.
Le sénateur Tkachuk : J’ai simplement quelques questions sur la dette des ménages au Canada, un enjeu qui semble préoccuper votre organisation. J’ai quelques questions à ce sujet.
Est-ce que la dette des ménages repose principalement sur l’immobilier ou sur d’autres produits?
Mme Lim : Elle repose principalement sur l’immobilier. Quatre-vingts pour cent de la dette des ménages est composée essentiellement de la dette hypothécaire et de la marge de crédit hypothécaire — une marge de crédit qu’ils utilisent pour obtenir des capitaux sur la valeur de leur maison afin de payer les études des enfants, d’acheter des biens durables, et cetera. Ces deux éléments constituent le gros de la dette des ménages, et c’est donc lié au logement.
Le sénateur Tkachuk : Quelles répercussions cela a-t-il sur les taux d’épargne des Canadiens?
Mme Lim : Il a diminué à environ 4 p. 100 et demi.
Le sénateur Tkachuk : Est-ce normal ou supérieur à la normale? Croyez-vous que c’est trop élevé, ou trop bas?
Mme Lim : Comparativement à ce que nous avons observé par le passé au Canada, c’est bas.
Le sénateur Tkachuk : La dette est-elle stimulée par l’optimisme ou par le manque d’argent?
Mme Lim : C’est une question intéressante. Je ne pense pas…
Le sénateur Tkachuk : C’est la seule question, en fait.
Mme Lim : Je pense que, d’un certain point de vue, elle est stimulée par l’optimisme. Les ménages voient le prix des maisons augmenter, alors ils veulent être de la partie, si on veut. Ils ont l’impression que s’ils n’achètent pas une maison maintenant, ils n’auront pas les moyens de le faire plus tard.
Comme les taux d’intérêt sont très bas, et qu’ils l’ont été depuis les 10 dernières années, c’est logique en un sens que les ménages canadiens veuillent s’acheter une maison. C’est bon marché. Même si la valeur de l’hypothèque moyenne a augmenté en raison de l’augmentation du prix des maisons, le coût du service de la dette, si on regarde un tableau, a diminué en fait parce que les taux d’intérêt sont très bas. Les ménages canadiens sont plus nombreux à pouvoir s’acheter une maison qui coûte très cher en raison des faibles taux d’intérêt.
Le risque, comme je l’ai mentionné un peu plus tôt, est que l’endettement élevé du ménage moyen le rende plus vulnérable à une hausse subite du chômage ou des taux d’intérêt. Si le taux des obligations à long terme des États-Unis augmente, par exemple, l’effet se fera sentir au Canada, car les rendements au Canada et aux États-Unis sont intiment liés. L’économie américaine croît à un rythme beaucoup plus rapide maintenant — supérieur à la capacité maximale —, ce qui pourrait provoquer une hausse des taux d’intérêt et avoir un effet d’entraînement au Canada. Si les taux d’intérêt des prêts hypothécaires augmentent, cela aura un effet sur la capacité des ménages canadiens à les rembourser.
Le sénateur Tkachuk : Donc, lorsque les représentants de la Banque du Canada viennent témoigner pour nous présenter leur rapport et nous faire part de leurs inquiétudes au sujet de la dette des ménages canadiens, cela veut dire en fait qu’en assouplissant la politique monétaire, ils ont stimulé l’endettement des ménages, et c’est un peu la solution qu’ont trouvée les États-Unis et le Canada pour remédier à l’effondrement du marché en 2008. On encourage la consommation. On encourage les consommateurs à s’endetter en leur offrant des taux d’intérêt très bas, plus bas que le marché.
Mme Lim : Oui, et c’est ce qui s’est produit pas seulement au Canada, mais partout dans le monde. C’est une mesure qui s’imposait pour contrer des prix sans précédent en 2008, quand des économies partout dans le monde, en particulier dans les pays industrialisés, sont entrées en récession. La stratégie la plus appropriée consiste à diminuer les taux d’intérêt pour stimuler l’économie.
En ce qui a trait maintenant à l’endettement des ménages et aux risques, le FMI recommande l’adoption de politiques macroprudentielles pour réduire la vulnérabilité du secteur de l’habitation. Les politiques liées aux taux d’intérêt visent à remédier à des problèmes économiques, tandis que les politiques macroprudentielles visent à atténuer les risques dans le secteur financier qui découlent d’une surchauffe du marché de l’habitation.
Le sénateur Tkachuk : Tout ce que je dis, c’est que les gouvernements ont tenté de régler le problème par l’assouplissement monétaire. Comme vous l’avez mentionné, c’était la chose à faire, mais, tôt ou tard, il faut y mettre fin. On ne peut pas continuer à stimuler l’économie, puis tout à coup, s’inquiéter de l’effondrement du marché immobilier qu’on a provoqué. C’est ce que les gouvernements font à l’heure actuelle.
Mme Lim : Je pense que le processus est déjà en cours. On a vu la Banque du Canada relever ses taux d’intérêt à deux reprises l’an dernier, en raison de la forte croissance économique. Plus l’économie prendra de la vigueur, plus on verra les taux d’intérêt augmenter.
Oui, vous avez raison. Je pense que plus ils augmenteront les taux d’intérêt, moins les gens seront tentés d’emprunter.
Le sénateur Tkachuk : Merci.
La sénatrice Stewart Olsen : Merci beaucoup de comparaître devant le comité. Je ne vois pas les prévisions aussi roses que le FMI. Je suis un peu plus pessimiste quant au retour du balancier.
Dans votre rapport rendu public l’été dernier, vous disiez vous inquiéter du niveau d’endettement des Canadiens, principalement lié aux prêts hypothécaires, mais vous avez parlé également des gouvernements et des entreprises.
Est-ce toujours une source d’inquiétudes pour vous? Quand les niveaux d’endettement de nos gouvernements sont aussi élevés — et je ne sais pas exactement ce qu’il en est des entreprises —, tout changement qui peut pousser le pendule à l’autre bout du balancier aura des effets dévastateurs. Est-ce que ces niveaux d’endettement vous inquiètent encore, et pouvez-vous nous en dire un peu plus à ce sujet?
Mme Lim : Bien sûr. Dans le rapport de l’an dernier, nous étions surtout préoccupés par l’endettement des ménages, car nous pensons que c’est là où se trouve la principale vulnérabilité macrofinancière de l’économie canadienne. Quand vous parlez des autres dettes, je présume que vous parlez de la dette des gouvernements.
Au fédéral, le gouvernement a agi, en fait, de manière très prudente. Le niveau d’endettement — la dette nette est même plus basse que la dette brute qui est à environ 30 p. 100 du PIB — est extrêmement bas comparativement aux autres pays de l’OCDE ou du G7. Notre évaluation de la situation l’an dernier disait essentiellement que le gouvernement disposait d’une certaine marge financière pour dépenser davantage, pour investir davantage dans l’infrastructure, l’éducation, la formation et l’innovation. Le niveau d’endettement du gouvernement fédéral n’est pas une source de préoccupations pour nous.
Je pense que, au pays dans l’ensemble, la dette des gouvernements a atteint environ 90 p. 100 du PIB. Nous recommandons donc — et c’est ce que nous avons fait dans notre rapport l’an dernier — que les gouvernements provinciaux qui ont des niveaux d’endettement élevés prennent des mesures pour juguler leurs dépenses et diminuer leur endettement.
La sénatrice Stewart Olsen : Au sujet de l’endettement des provinces, la mienne est très endettée. Est-ce que, dans la foulée de votre rapport, les provinces vous semblent en voie de réduire leur endettement?
Mme Lim : Je crois que c’est une conversation que nous aurons avec elles lors de nos prochaines consultations. Je pense que toutes les provinces avec qui nous avons discuté comprennent le problème. Elles sont tout à fait conscientes de la situation financière dans laquelle elles se trouvent et du passif éventuel qui ne se manifestera pas aujourd’hui, mais dans 10 ou 20 ans, lorsque les coûts de la santé augmenteront. Je n’ai pas l’impression que nous prêchons à propos d’une situation qu’elles ignorent.
Nous allons probablement leur recommander de mettre en place des règles budgétaires plus sévères pour atteindre leurs objectifs.
Le sénateur Tannas : Calculez-vous la croissance par habitant dans l’économie? Le Canada connaît une croissance assez robuste de sa population en raison principalement de l’immigration, mais aussi parce que nous y mettons un peu plus du nôtre que dans d’autres pays. Est-ce que la croissance de l’économie normalisée en fonction de la croissance de la population change la position du Canada parmi les pays du G7 pour ce qui est de la croissance de son PIB?
Mme Lim : On regarde essentiellement la productivité de la main-d’œuvre et les effets des changements démographiques sur la productivité de la main-d’œuvre. Nous n’effectuons pas de classement, mais le Canada, comme la plupart des économies avancées, a une population vieillissante. C’est un facteur qui continuera de peser sur la croissance de la productivité de sa main-d’œuvre.
Selon nous, il sera important pour le Canada d’investir à long terme dans l’éducation et la formation pour attirer des immigrants qualifiés afin de combler le fossé démographique.
C’est là la portée de notre analyse.
Kotaro, aimeriez-vous ajouter quelque chose?
Le sénateur Tannas : Quand on regarde du côté des États-Unis et du rythme de croissance de leur économie, est-ce que les consommateurs américains stimulent l’économie à nouveau? Quelle part de la croissance est attribuable à l’augmentation de l’endettement des ménages?
Mme Lim : Je pense que l’économie américaine a beaucoup ralenti après la crise de 2008. Même si certains segments du marché de l’habitation ont connu un rebond, on n’observe pas une reprise inquiétante. La reprise aux États-Unis est attribuable, en fait, à une reprise des investissements au pays.
Le sénateur Wetston : Je ne peux pas remettre en question votre analyse, mais j’éprouve une certaine réticence, et cela, depuis un certain temps, à l’égard des outils que vous utilisez pour effectuer vos analyses.
J’ai discuté de la question avec d’autres économistes au Canada. Si je suis tout à fait à l’aise avec les outils microéconomiques que vous utilisez, je le suis moins dernièrement avec vos outils et vos modèles macroéconomiques et économiques. J’ai quelques questions générales à vous poser à ce sujet.
À quoi ont ressemblé vos prévisions de croissance du PIB du Canada et des États-Unis depuis la crise financière? Avez-vous visé juste? Y avait-il un écart de 1 p. 100, de 2 p. 100 ou de 0,5 p. 100, ce qui est beaucoup dans une économie? Pouvez-vous m’éclairer à ce sujet?
Mme Lim : Vous savez, nous sommes terriblement chatouilleux sur cette question.
Le sénateur Wetston : Ne le soyez pas, s’il vous plaît. Il n’y a pas de raison de l’être.
Mme Lim : Je pense que, dans l’ensemble, vous avez raison. Les économistes que nous sommes ont tendance à trop utiliser de modèles et d’outils compliqués. Mais nous en sommes conscients. Nous n’utilisons pas seulement des modèles et des outils pour effectuer nos prévisions. Nous examinons une foule de données, nous consultons une foule de gens, et nous examinons les résultats d’enquêtes avant d’effectuer nos prévisions.
Avons-nous toujours visé juste dans nos prévisions? Non. Nous avions un tableau, mais je ne me rappelle pas des données — Troy pourrait s’en souvenir. Nous avions un tableau que nous avons diffusé et qui montre comment les perspectives de croissance de l’économie mondiale ont été revues systématiquement à la baisse lors de chaque publication. Donc, oui nos prévisions ont raté la cible. Cela pouvait atteindre jusqu’à un point de pourcentage; je ne me souviens pas des chiffres exacts. Je pense toutefois que c’est la nature des prévisions.
Le sénateur Wetston : Bien sûr, et je ne voulais pas vous mettre dans l’embarras, car honnêtement, j’ai beaucoup de respect pour le travail qu’effectue le FMI. Les banques centrales, d’autres institutions financières et de nombreuses autres institutions utilisent des données et des modèles similaires. Je ne dis pas que c’est le cas, mais j’essaie simplement de comprendre cela dans le cadre de votre analyse.
Depuis la crise financière, je pense que vous seriez tous d’accord avec moi pour dire que nous avons été mondialement en territoire inconnu — et je parlerai un peu du Canada, et peut-être aussi des États-Unis. Je ne pense pas que nous ayons déjà connu une période aussi longue d’assouplissement quantitatif, non plus qu’une crise financière ayant eu de pareilles répercussions sur l’économie mondiale.
Sommes-nous encore en territoire inconnu, à votre avis? Êtes-vous en mesure de le dire, à partir des discussions aujourd’hui et des réponses aux questions? Personnellement, je pense que nous sommes encore en territoire inconnu, mais c’est seulement mon opinion personnelle. J’aimerais connaître la vôtre.
Mme Lim : Je dirais que, dans une certaine mesure, les stimulants économiques aux États-Unis, à un moment où l’économie américaine tourne à plein régime, nous placent en nouveau territoire inconnu. Je pense qu’on entre ici dans un nouveau territoire inconnu. Nous ne savons pas exactement quelles seront les répercussions des changements colossaux qu’ils ont apportés à l’imposition des entreprises, et quelles en seront les répercussions sur l’investissement et la consommation.
Le sénateur Wetston : Nous connaissons les outils de politique monétaire qui sont à votre disposition, et nous avons beaucoup appris de la crise financière. Nous avons beaucoup appris, je pense, sur l’utilisation nécessaire des outils de politique budgétaire, principalement lorsque les outils de politique monétaire ne sont plus efficaces. Avons-nous épuisé nos outils de politique monétaire pour traiter de situations comme ce nouveau territoire inconnu dans lequel nous nous apprêtons à entrer?
Mme Lim : Une des conséquences de ce territoire inconnu, comme vous l’appelez, découle du fait que nous avons poussé la politique monétaire au-delà du zéro. Certaines banques centrales en Europe et au Japon ont eu recours à des taux d’intérêt négatifs comme outil de politique, et le Canada, comme l’a mentionné Troy, a des taux réels négatifs à l’heure actuelle. Nous avons donc des outils d’assouplissement quantitatif qui ont permis aux banques centrales d’injecter des liquidités dans l’économie, de façon sans précédent.
Il semble donc que nous n’ayons pas épuisé nos outils à proprement parler; nous avons simplement fait preuve de plus d’ingéniosité dans leur utilisation.
Le président : J’ai deux ou trois petites questions, si je peux me permettre.
J’ai l’impression que mes notes ne sont pas exactes. Avez-vous dit que les investissements des entreprises au Canada poursuivront leur remontée?
Mme Lim : Oui, en ce sens qu’ils vont effectuer une remontée de leur bas niveau. Les investissements des entreprises ont repris en 2017. Les chiffres des trois premiers trimestres laissent entrevoir une hausse de 7 p. 100, si je me souviens bien.
Nous attendons les données du dernier trimestre qui seront publiées demain. J’ai l’impression que les investissements seront moindres au dernier trimestre, alors la remontée en 2017 sera en deçà des 7 p. 100 observés au cours des trois premiers trimestres.
Nous pensons que les investissements vont poursuivre leur remontée, mais, comme je l’ai mentionné, à un rythme graduel, en raison de l’incertitude qui entoure l’ALENA, et des répercussions d’autres aspects de la réforme fiscale aux États-Unis.
Le président : C’est intéressant, car, d’après les conversations que j’aie eues avec des investisseurs et des PDG partout au Canada, en particulier en Alberta — ma province d’origine —, j’ai la très nette impression que les investissements au Canada en ce moment sont au point mort.
Mme Lim : Les perspectives ne sont pas bonnes, oui. Les chiffres pour les IDE ont été publiés ce matin et révèlent une baisse des investissements directs étrangers. Si je me souviens bien, c’est le cas en particulier en Alberta, les investissements dans le secteur pétrolier et gazier demeureront stables, au mieux, au début de 2018.
Le président : La seule chose encourageante, c’est de voir que mes notes n’étaient pas erronées. Merci beaucoup.
Quelles sont vos prévisions sur l’écart de prix du baril de pétrole canadien à l’exportation en 2018?
Mme Lim : Nous prenons essentiellement l’écart actuel sur le marché, qui est d’environ 20 $ et qui a augmenté de façon significative.
Le président : C’est certain.
Ma dernière question est la suivante : seriez-vous en mesure de nous donner votre opinion sur les effets potentiels sur la croissance de l’économie canadienne, en 2018-2019, d’un échec total de l’ALENA?
Mme Lim : Vous posez là une question difficile. Nous avons réalisé une analyse l’an dernier dans laquelle nous avons examiné les répercussions pour le Canada de passer aux taux de la nation la plus favorisée.
Si l’ALENA est aboli, et que le Mexique, le Canada et les États-Unis doivent commercer aux taux de la nation la plus favorisée, les simulations simples que nous avons réalisées indiquaient que cela aurait des répercussions négatives à court terme sur le PIB réel du Canada — le pourcentage du PIB — d’environ 0,4 p. 100. Toutefois, à long terme, la consommation et les investissements diminueront d’environ 2 p. 100, je crois. Il y aura donc des répercussions négatives.
Le président : Merci beaucoup.
Les sénateurs ont-ils d’autres questions?
Tout ce qu’il me reste donc à faire est de vous remercier sincèrement pour le travail que vous avez fait et votre disponibilité aujourd’hui. J’ose espérer que vous avez aimé l’expérience, car nous souhaiterions la répéter chaque année. Vous avez donc quelques mois pour y réfléchir.
La séance a été très utile pour nous, en particulier parce que vous avez un point de vue extérieur sur le Canada, et que vous n’avez pas de parti pris. Nous vous remercions de vos observations.
Nous vous sommes très reconnaissants.
Mme Lim : Merci. Ce fut un plaisir.
(La séance est levée.)