LE COMITÉ SÉNATORIAL PERMANENT DES BANQUES ET DU COMMERCE
TÉMOIGNAGES
OTTAWA, le mercredi 18 octobre 2017
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 16 h 15, pour étudier, afin d'en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
Le sénateur Joseph A. Day (vice-président) occupe le fauteuil.
Le vice-président : Honorables sénateurs, bonjour et bienvenue. Chers collègues, invités et membres du grand public qui assistent à la réunion aujourd’hui du Comité sénatorial permanent des banques et du commerce, soit ici dans la salle ou sur le Web, je m’appelle Joseph Day. Je suis le vice-président de ce comité. Je remplace le président David Tkachuk, qui n’est pas disponible aujourd’hui.
[Traduction]
C’est la première séance que nous consacrons à notre étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude. Nous donnons ainsi suite à l’ordre de renvoi approuvé par le Sénat.
Je suis très heureux que nous puissions accueillir ce soir des témoins qui vont nous aider à entreprendre cette étude sur le bon pied.
Je vais maintenant vous les présenter, chers collègues, en même temps qu’à ceux qui suivent nos délibérations. De Sécurité publique Canada, nous accueillons Adam Hatfield, directeur général par intérim, Direction de la cybersécurité nationale.
Nous recevons aussi deux représentants de la Gendarmerie royale du Canada, soit le surintendant principal Scott Doran, directeur général, Opérations criminelles de la Police fédérale; et le surintendant Mark Flynn, directeur, Cybercriminalité, Police fédérale. Est également des nôtres Charles Lowson, directeur général, Contre-espionnage et Lutte contre la prolifération au Service canadien du renseignement de sécurité.
Charles Lowson, directeur général, Contre-espionnage et Lutte contre la prolifération, Service canadien du renseignement : C’est bien cela.
Le vice-président : Nous allons maintenant inviter chacun de nos témoins à nous présenter un exposé, après quoi il y aura un échange de questions et réponses.
Adam Hatfield, directeur général par intérim, Direction de la cybersécurité nationale, Sécurité publique Canada : Merci d’avoir invité Sécurité publique Canada à témoigner devant vous au sujet de la cybersécurité et de son impact sur les secteurs financier et commercial du Canada. Nous le savons tous, les Canadiens vivent dans une ère numérique. Toutes les sphères de notre vie sont influencées par la technologie numérique et Internet, et la technologie ne cesse d’évoluer.
La technologie numérique offre d’énormes avantages et possibilités pour les Canadiens et les entreprises canadiennes. Cependant, comme toute technologie, elle présente son lot de risques et de dangers. La cybersécurité est l’outil qui nous permet de tirer pleinement profit des avantages de l’ère numérique tout en atténuant les risques qui y sont associés. C’est pourquoi la cybersécurité est une priorité à la fois gouvernementale et d’intérêt national depuis de nombreuses années déjà.
Aujourd’hui, je veux d’abord vous entretenir du rôle joué par Sécurité publique Canada en matière de cybersécurité, puis vous parler de la façon dont nous interagissons avec le secteur financier. Je discuterai enfin des normes et de la réglementation qui relèvent du mandat de Sécurité publique Canada.
Dans le contexte de son mandat global qui vise à bâtir un Canada sécuritaire, notre organisation assure la sécurité et la résilience des systèmes cybernétiques vitaux pour la sécurité nationale, la sécurité publique et la prospérité économique du pays. Pour ce faire, Sécurité publique Canada assume un rôle de leadership et de coordination à l’échelle nationale en matière de cybersécurité en vertu de la Loi sur le ministère de la Sécurité publique et de la Protection civile et de la Loi sur la gestion des urgences.
La Direction de la cybersécurité nationale de Sécurité publique Canada appuie le mandat du ministère en contribuant au développement de politiques stratégiques et par le biais de ses activités opérationnelles. La division des politiques stratégiques est responsable de la mise en œuvre de la Stratégie de cybersécurité du Canada qui favorise l’adoption d’une approche pangouvernementale intégrée pour donner suite aux enjeux en matière de cybersécurité. Cela comprend aussi l’élaboration de politiques nationales en matière de cybersécurité ainsi que la coordination des politiques de cybersécurité dans l’ensemble du gouvernement fédéral.
En collaboration avec de nombreux ministères et agences du gouvernement fédéral qui jouent un rôle en matière de cybersécurité, l’équipe en charge des politiques élabore actuellement des propositions qui permettront au gouvernement de réagir aux conclusions de l’examen sur la cybersécurité, un vaste exercice de consultation publique qui devrait contribuer à guider l’évolution de notre stratégie en matière de cybersécurité.
Les activités opérationnelles de Sécurité publique Canda relèvent du Centre canadien de réponse aux incidents cybernétiques qui sert de point de contact central pour les propriétaires et les exploitants d’infrastructures essentielles qui veulent signaler au gouvernement du Canada qu’ils ont été victimes d’un cyberincident et qui souhaitent obtenir de l’aide.
Cette équipe opérationnelle a également pour mandat de coordonner les interventions pangouvernementales en cas d’incident cybernétique grave. Dans le cadre de toutes ces activités, Sécurité publique Canada travaille en étroite collaboration avec un grand nombre de ministères et d’agences qui ont un rôle à jouer en matière de cybersécurité. Il s’agit notamment de la Gendarmerie royale du Canada et du Service canadien du renseignement de sécurité dont les représentants sont ici aujourd’hui. Nous travaillons également avec le Centre de la sécurité des télécommunications, le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Innovation, Sciences et Développement économique Canada, Affaires mondiales Canada et différentes autres organisations qui sont des chefs de file dans leurs domaines respectifs.
Le secteur financier est l’un de ceux avec lesquels Sécurité publique Canada collabore. Nous avons pu établir au bénéfice des deux parties une solide relation de confiance avec les organisations et les associations du secteur financier qui doivent composer avec des enjeux liés à la cybersécurité autant dans leurs politiques stratégiques que dans leurs activités courantes. Sur le plan stratégique, le secteur financier canadien a, à de nombreuses reprises au fil des ans, contribué à l’élaboration de politiques de cybersécurité et à l’établissement de priorités en la matière en nous faisant profiter de son expertise et de ses points de vue particuliers.
Pour ce qui est des activités courantes, différentes institutions financières canadiennes travaillent en étroite collaboration avec Sécurité publique Canada et nous communiquent régulièrement de l’information de nature technique. Selon notre expérience, le secteur financier canadien a une compréhension approfondie et détaillée des avantages et des risques associés à la technologie numérique. La gamme de ces risques peut aller de simples tentatives d’accéder illégalement au compte personnel d’un client pour y voler des fonds jusqu’à des stratagèmes de fraude à l’égard d’importants transferts de fonds pour compromettre l’intégrité des réseaux financiers.
La cybersécurité se résume fondamentalement à la gestion des risques opérationnels. Selon notre expérience, les institutions financières ont une très bonne compréhension de la gestion des risques, sont très motivées à protéger leur industrie et les fonds de leurs clients, et disposent d’amplement de ressources à cette fin.
En ce qui a trait aux normes et à la réglementation, il est important de savoir que Sécurité publique Canada n’est ni une instance réglementaire ni un organisme d’application de la loi dans le domaine de la cybersécurité. Il n’existe actuellement aucune obligation pour une personne ou une organisation de signaler un incident cybernétique à Sécurité publique Canada. En outre, le ministère n’a pas l’autorité d’exiger qu’une personne ou une organisation lui rapporte un incident. Nous ne pouvons pas non plus obliger qui que ce soit à prendre des mesures particulières pour protéger son réseau à la suite d’un incident cybernétique.
Nos partenaires collaborent avec nous de façon volontaire et de nombreuses années d’expérience nous ont permis de constater qu’il s’agit d’une approche productive et mutuellement avantageuse.
À quelques exceptions près, la cybersécurité n’est pas un domaine vraiment réglementé au Canada et à l’étranger. Ces exceptions comprennent la protection des renseignements personnels, via des organisations comme le Commissariat à la protection de la vie privée du Canada, ainsi que d’autres réglementations applicables à des secteurs précis comme la santé, l’énergie ou l’industrie financière.
Certains pays ont adopté des approches stratégiques obligeant les entreprises à se conformer à des normes et à une réglementation détaillées en matière de cybersécurité. D’autres ont essayé de rendre obligatoire la communication de renseignements en cas d’incident cybernétique. La plupart ont opté pour une approche de collaboration volontaire, comme c’est le cas au Canada.
L’examen de la cybersécurité mené au fil des deux dernières années a notamment permis de constater le besoin de renforcer le leadership du gouvernement concernant les normes et la réglementation en matière de cybersécurité. Le gouvernement élabore actuellement différentes propositions en réponse à cet examen.
En conclusion, je tiens à souligner le fait que les cybermenaces sont en constante évolution, et que le Canada et les Canadiens doivent s’efforcer de garder une longueur d’avance sur ces menaces de telle sorte que nous puissions continuer à tirer profit de la technologie numérique. En tant qu’organisation s’occupant de cybersécurité, nous voulons dire à tout le monde que la technologie numérique est un outil merveilleux dont on ne devrait pas se passer, mais qu’il faut l’utiliser de façon sécuritaire. Ceci est vrai pour tous les secteurs de notre économie, et pas seulement pour le secteur financier.
Sécurité publique Canada entretient de bonnes relations avec les institutions financières de tout le pays avec lesquelles nous interagissons fréquemment. Nous espérons bien poursuivre cette collaboration dans les dossiers liés à la cybersécurité.
Je vous remercie du temps que vous m’avez consacré.
[Français]
Surintendant principal Scott Doran, directeur général, Opérations criminelles de la Police fédérale, Gendarmerie royale du Canada : Je vous remercie, monsieur le président, de m’avoir donné l’occasion de vous parler aujourd’hui de la question de la cybercriminalité au Canada.
[Traduction]
Aujourd’hui, je ferai le survol du mandat, des rôles et des responsabilités de la GRC ainsi que des initiatives d’application de la loi en ce qui concerne la lutte contre la cybercriminalité au Canada et dans le secteur financier.
La cybercriminalité englobe les situations où la technologie est la principale cible de même que les cas où la technologie est un important outil ou catalyseur permettant de commettre d’autres types de crimes, notamment des infractions financières comme la fraude et le blanchiment d’argent, ou encore des infractions liées à la drogue ou à la sécurité nationale.
La GRC joue un rôle de premier plan en travaillant dans le sens des priorités générales du gouvernement du Canada qui consistent à assurer la sécurité des Canadiens. À ce titre, elle a reçu des autorités fédérales le mandat et le pouvoir d’enquêter sur les infractions criminelles ayant trait à la cybercriminalité.
Ces enquêtes portent notamment sur les incidents visant les systèmes, les réseaux et les autres infrastructures essentielles du gouvernement. Nos enquêtent peuvent permettre d’appréhender des criminels ou de mettre fin à leurs activités dans le cyberespace.
Les efforts d’application de la loi déployés dans le cyberespace se butent à des défis sans précédent. Cette situation découle en grande partie de la nature transversale de la cybercriminalité. Celle-ci s’applique en effet à tous les types de crimes et à tous les niveaux des services de police, en plus de ne pas connaître de frontières. Cette dernière caractéristique fait en sorte que les criminels peuvent sévir dans de nombreux pays simultanément.
En outre, la nature extensible de la cybercriminalité est telle qu’un seul individu peut faire un très grand nombre de victimes à très grande échelle, ce qui n’est pas possible dans le monde physique.
Par conséquent, la cybercriminalité est un problème mondial qui a d’importantes répercussions sur la sécurité et le bien-être économique des Canadiens et des entreprises canadiennes, et ce, surtout pour les membres les plus vulnérables de la société comme les personnes âgées et les jeunes. Les entreprises canadiennes et les Canadiens eux-mêmes sont des cibles de choix pour les cybercriminels en raison de la richesse relative de notre pays et de notre économie fondée sur Internet.
Bien consciente des menaces et des défis qui existent, la GRC a rendu publique, en décembre 2015, sa Stratégie de lutte contre la cybercriminalité. Cette stratégie vise à réduire la menace que représente la cybercriminalité au Canada, le nombre de victimes qui en souffrent et les répercussions de ce phénomène. Elle s’articule autour de trois piliers. Premièrement, il faut déterminer les menaces liées à la cybercriminalité et en établir l’ordre de priorité via la cueillette et l’analyse de renseignements. Deuxièmement, il faut contrer la cybercriminalité en menant des activités ciblées d’enquête et d’application de la loi. Troisièmement, on doit soutenir les enquêtes liées à la cybercriminalité en misant sur la spécialisation des compétences, des outils et de la formation.
La Stratégie de lutte contre la cybercriminalité comprend un cadre opérationnel élaboré dans le but d’orienter les mesures prises par la GRC dans ce contexte. L’un des résultats a été la mise sur pied et le renforcement d’un certain nombre d’équipes. Les enquêtes de la GRC à l’échelon fédéral sont principalement menées par l’Équipe d’enquête sur la cybercriminalité de la Division nationale dont les bureaux sont situés à Ottawa. Les groupes divisionnaires en charge des crimes graves et du crime organisé de même que les groupes s’occupant de criminalité technologique peuvent aussi apporter leur appui ou mener des enquêtes en matière de cybercriminalité lorsque l’équipe de la Division nationale a besoin d’aide.
L’Équipe d’enquête sur la cybercriminalité de la Division nationale travaille aussi avec nos services d’enquêtes techniques en vue d’améliorer les capacités en matière de collecte de preuves informatiques judiciaires pour tous les types d’enquêtes.
L’Équipe d’enquête sur la cybercriminalité du Centre national de coordination du renseignement est un groupe de la Police fédérale voué au renseignement dont les efforts portent sur le repérage des menaces, nouvelles et émergentes, en matière de cybercriminalité.
En ce qui a trait à la cybercriminalité visant les infrastructures essentielles, l’Équipe nationale des infrastructures essentielles examine les menaces réelles et virtuelles à cet égard. Cette équipe travaille en étroite collaboration avec une diversité de partenaires au pays, comme les banques et les autres organismes d’application de la loi, pour cerner les tendances et les vulnérabilités dans le but de prévenir ou d’atténuer les répercussions d’attaques menées contre les infrastructures essentielles.
Dans l’ensemble, la GRC coordonne les efforts déployés en collaboration avec ses partenaires nationaux, internationaux et du secteur privé pour cibler les auteurs des menaces liées à la cybercriminalité et pour cerner les menaces nouvelles et émergentes en la matière ainsi que les méthodes utilisées par les cybercriminels. Plus précisément, la GRC travaille en collaboration étroite avec les ministères et organismes fédéraux qui jouent un rôle actif dans le domaine de la cybersécurité, y compris le Centre canadien de réponse aux incidents cybernétiques, dont parlait mon collègue M. Hatfield, le Service canadien du renseignement de sécurité et le Centre de la sécurité des télécommunications du Canada.
Des efforts de collaboration et de coordination sont consentis sur plusieurs fronts conformément à la vision définie dans notre Stratégie de lutte contre la cybercriminalité.
Nos activités d’application de la loi vont de la détermination des menaces liées à la cybercriminalité et l’établissement de leur ordre de priorité au moyen du renseignement criminel jusqu’à la coordination des activités d’enquête et de perturbation des activités cybercriminelles, en passant par le traitement des preuves numériques à l’appui de ces enquêtes.
Sur le plan opérationnel, nos enquêtes visent surtout les concepteurs et distributeurs de logiciels malveillants, les créateurs de l’infrastructure utilisée pour la cybercriminalité, les exploitants qui facilitent la cybercriminalité (p. ex., les réseaux de zombis, les forums et les marchés numériques), et les exploitants de réseaux financiers qui facilitent le blanchiment d’argent et la monétisation des produits de la cybercriminalité. De plus, en vertu de notre mandat fédéral, nous menons des enquêtes sur des crimes plus « traditionnels », comme la fraude, lorsque leurs auteurs utilisent des systèmes cybernétiques pour accroître le nombre de leurs victimes.
Pour ce qui est du secteur financier et du secteur commercial au Canada, le volume et la gravité des cybercrimes dont sont victimes des Canadiens et des entreprises du pays ont augmenté considérablement.
En raison des progrès technologiques qui peuvent faciliter les crimes « traditionnels » comme le blanchiment d’argent, les organismes d’application de la loi ont dû modifier la manière dont ils réagissent à la criminalité financière de grande envergure. Les groupes du crime organisé, les blanchisseurs d’argent professionnels et les contrôleurs d’argent internationaux ne sont plus cantonnés à l’emploi de méthodes traditionnelles pour blanchir l’argent et transférer les produits de la criminalité. Les marchés du Web invisible, la multiplication des monnaies virtuelles et les stratagèmes complexes de blanchiment d’argent au moyen d’activités commerciales sont des exemples des progrès technologiques qui ont carrément effacé les frontières et permis aux organisations criminelles de vraiment s’implanter partout dans le monde.
Un grand nombre des cas signalés à la GRC sont des cybercrimes financiers importants commis au Canada ou à l’échelle internationale. Il s’agit notamment de la diffusion de logiciels malveillants, comme les chevaux de Troie bancaires, les multiples escroqueries en ligne, la compromission des courriels et la multiplication des moyens d’extorsion comme les rançongiciels et les attaques par déni de service coordonné.
Cela dit, de nombreux cybercrimes ne sont pas signalés, notamment en raison du trop grand nombre de moyens permettant de le faire au Canada. Cette abondance de mécanismes est une source de confusion pour les gens et réduit, de ce fait, la probabilité qu’un cybercrime soit signalé.
Pour cette raison, les organismes d’application de la loi ne peuvent pas établir de liens entre les crimes, car ils n’ont pas les données voulues pour bien comprendre et analyser les problèmes. Cela les empêche de s’attaquer stratégiquement à la cybercriminalité à plus grande échelle et de manière coordonnée et mieux ciblée.
Nous poursuivons nos efforts pour combattre la cybercriminalité, mais il y a toujours des lacunes et des difficultés. Premièrement, bien que la plupart des cybercrimes concernent plusieurs administrations à la fois, ils sont souvent abordés isolément par les services de police locaux, ce qui nuit à la coordination des efforts d’application de la loi.
La demande dans ce domaine de la criminalité a surpassé la capacité de la GRC. En fait, nous ne pouvons plus entreprendre de nouvelles enquêtes à l’égard de cybermenaces majeures. Nous avons aussi de la difficulté à coordonner les enquêtes menées conjointement avec nos partenaires étrangers dont les capacités de lutte contre les cybermenaces diffèrent des nôtres. Par conséquent, nous ne pouvons pas nous assurer que les éléments canadiens de ces enquêtes conjointes ont la priorité.
Pour lutter contre la cybercriminalité, il faut de la coopération, tant au Canada qu’à l’échelle internationale.
Enfin, il nous faut plus de ressources pouvant nous faire bénéficier des connaissances et de l’expertise nécessaires pour combattre efficacement la cybercriminalité. C’est vrai pour la quasi-totalité des efforts déployés pour contrer ce phénomène.
[Français]
Il ne faut pas oublier que la GRC continue de prendre des mesures concrètes pour améliorer le degré de préparation requis pour réagir aux cybercrimes et établir une collaboration efficace avec ses partenaires étrangers. Par exemple, sur la scène internationale, la GRC travaille de concert avec les responsables de l’application de la loi d’autres pays afin de perturber les réseaux, comme les plateformes majeures de l’infrastructure criminelle internationale, qui sont utilisés pour lancer et gérer des attaques intensives et mondiales de logiciels malveillants. Les pertes monétaires associées aux attaques de logiciels malveillants sont estimées, à l’échelle internationale, à des centaines de millions de dollars.
La GRC participe à des initiatives mondiales concertées avec ses partenaires de l’application de la loi à l’étranger afin de détruire les réseaux et identifier les principaux acteurs de la cybermenace.
[Traduction]
La GRC travaille avec le gouvernement et d’autres intervenants dans le but d’explorer diverses réformes qui pourraient aider à renforcer notre capacité à suivre le courant du milieu de la cybercriminalité dans son ensemble. Parmi les mesures envisagées, on pourrait élargir la collaboration avec les partenaires du secteur de l’application de la loi, élaborer à l’interne de nouvelles solutions techniques, augmenter la coopération au Canada et à l’échelle internationale, et sensibiliser davantage la population.
En ce qui concerne la criminalité financière, la GRC continue de travailler en collaboration avec ses partenaires, au Canada et à l’étranger, afin de mieux comprendre les avancées technologies pour pouvoir agir en conséquence. Cela consiste notamment à améliorer les échanges d’information, à cerner et mettre en œuvre les mesures nécessaires devant être prises conjointement pour réagir à l’émergence des contrôleurs d’argent internationaux, et à mettre en commun les méthodes utilisées pour la formation des agents de première ligne à l’égard de la complexité de la criminalité financière moderne.
Au Canada, nous collaborons avec nos partenaires du gouvernement fédéral pour moderniser notre régime de lutte contre la criminalité financière afin que les responsables de l’application de la loi disposent des outils dont ils ont besoin pour surmonter les obstacles déjà existants et ceux que nous prévoyons devoir affronter un jour.
Je tiens à vous remercier d’avoir invité la GRC à comparaître aujourd’hui et je serai ravi de répondre à toutes vos questions.
Le vice-président : Monsieur le surintendant principal, merci beaucoup pour cet exposé.
Nous allons maintenant entendre Charles Lowson du Service canadien du renseignement de sécurité.
[Français]
Charles Lowson, directeur général, Contre-espionnage et Lutte contre la prolifération, Service canadien du renseignement de sécurité : Monsieur le président, mesdames et messieurs les membres du comité, bonjour. Je m’appelle Charles Lowson, je suis le directeur général de la division du contre-espionnage et de la lutte contre la prolifération au Service canadien du renseignement de sécurité, ou SCRS. Ma division est chargée des enquêtes du service sur l’espionnage, l’ingérence étrangère, la prolifération des armes de destruction massive et certaines menaces. Elle comprend également le Cybercentre du SCRS, qui mène des enquêtes sur les cybermenaces qui pèsent sur la sécurité nationale.
[Traduction]
Monsieur le président, les hommes et les femmes qui travaillent au SCRS mettent tout en œuvre jour après jour pour assurer la sécurité de notre pays et de nos concitoyens canadiens. Je suis fier de les représenter ici aujourd’hui.
[Français]
Je vous remercie de m’avoir invité à participer à cette étude sur la cybersécurité ayant trait au secteur financier et commercial du Canada. Je serai bref, mais je tiens à vous éclairer sur le mandat et le rôle du SCRS au sein de la communauté de la cybersécurité au Canada.
[Traduction]
La Loi sur le SCRS confie au Service le mandat d’enquêter sur les activités pouvant constituer une menace pour la sécurité du Canada et de conseiller le gouvernement fédéral à cet égard. Ces menaces, qui sont définies à l’article 2 de la Loi sur la SCRS, sont l’espionnage, le sabotage, l’ingérence étrangère, le terrorisme et la subversion du gouvernement par la violence. Le service peut aussi prendre des mesures pour réduire les menaces pesant sur la sécurité du Canada dans le respect des règles de droit applicables et en conformité avec les instructions du ministre.
Le monde numérique et interconnecté dans lequel nous vivons offre à des organisations et à des personnes malintentionnées un moyen puissant de mener des activités d’espionnage, d’ingérence étrangère, voire de terrorisme, contre les institutions, les entreprises et les citoyens du Canada. Pour des États hostiles, les cyberopérations offensives sont devenues un outil d’espionnage, de sabotage et d’ingérence.
Même si le caractère confidentiel du travail effectué par le SCRS m’empêche de traiter de menaces précises ou d’opérations en cours, je peux vous parler de la nature des enquêtes visant les cybermenaces qui pèsent sur la sécurité nationale, du contexte actuel de ces menaces et des moyens qu’utilise le SCRS pour conseiller ses partenaires gouvernementaux à cet égard.
Pendant une cyberenquête, le service tire parti de l’expertise de ressources techniques, comme les informaticiens, et de ressources non techniques, comme les agents de renseignement qui connaissent le fonctionnement des opérations de renseignement traditionnelles. Le SCRS utilise une vaste gamme de techniques d’enquête, notamment le recours à des sources humaines, pour mieux comprendre les méthodes et les motivations des auteurs de cybermenaces et pour attribuer les cyberincidents. Ces connaissances sont essentielles pour soutenir le gouvernement du Canada de manière à lui permettre de bien évaluer les cyberattaques afin d’y réagir adéquatement, et pour l’aider, dans une perspective plus générale, à relever les défis que posent l’espionnage, le sabotage, l’ingérence étrangère et le terrorisme.
En raison de son économie ouverte et développée et de son statut de chef de file en matière d’innovation, le Canada est une cible de choix pour les cyberattaques malveillantes, qu’elles proviennent d’auteurs étatiques ou parrainés par un État, de terroristes ou d’organisations criminelles. Le SCRS enquête sur les menaces envers la sécurité du Canada et conseille le gouvernement à cet égard. Il se concentre ainsi sur les États et sur les intervenants parrainés par un État qui mènent des activités clandestines, y compris des cyberopérations, pour atteindre leurs objectifs au détriment de l’intérêt national du Canada.
[Français]
Outre le vol de propriété intellectuelle, les cyberactivités parrainées par un État visent notamment à obtenir des informations qui permettraient à des sociétés étrangères de jouir d’un avantage concurrentiel sur les entreprises canadiennes. Cela peut nuire aux négociations liées à des projets d’investissement ou d’achat avec des entreprises canadiennes et le gouvernement du Canada, puis entraîner la perte d’emplois, de revenus et de parts du marché. En définitive, le cyberespionnage a une incidence négative sur l’économie du Canada dans son ensemble.
[Traduction]
En ce qui a trait au sujet de la présente étude, c’est-à-dire les cybermenaces qui visent précisément les secteurs financier et commercial du Canada, je m’en remets aux connaissances de mes collègues du Centre canadien de réponse aux incidents cybernétiques et du Centre de la sécurité des télécommunications, qui sont des spécialistes de la cybersécurité. Le SCRS ne joue aucun rôle dans l’élaboration de mesures d’atténuation des cyberincidents ni dans la prestation de conseils au public ou à l’industrie. Par contre, il soutient ses partenaires du gouvernement du Canada lorsqu’il est manifeste qu’une menace pèse sur la sécurité nationale ou qu’il y a implication d’un intervenant parrainé par un État.
En outre, le SCRS n’a pas le mandat d’enquêter sur la cybercriminalité, qui relève à juste titre des forces de l’ordre. Bien sûr, le SCRS et la GRC harmonisent souvent leurs activités liées à un large éventail de préoccupations, dont les cyberattaques, lorsque le lien avec la sécurité nationale est flou. Il s’agit d’une situation relativement courante dans l’univers nébuleux des cyberenquêtes.
Lorsque la compromission de systèmes informatiques constitue une menace pour la sécurité nationale, le SCRS collabore étroitement avec des partenaires du gouvernement fédéral, y compris la GRC, le Centre de la sécurité des télécommunications du Canada et le Centre canadien de réponse aux incidents cybernétiques, pour réagir à l’incident. Entre autres, il enquête sur la compromission, détermine qui en est l’auteur et quelle est la méthode utilisée, et en informe le gouvernement.
La situation peut exiger l’application immédiate de solutions techniques, mais elle peut aussi requérir une réaction plus vaste. Il n’est pas nécessairement adéquat de rendre la pareille aux auteurs étatiques de cyberattaques. Plutôt, le gouvernement du Canada peut réagir de différentes manières, en fonction du contexte et de la gravité de la situation. Fournir des renseignements au gouvernement pour l’aider à donner un fondement adéquat à ses réactions est l’un des rôles essentiels du SCRS.
Par ailleurs, le service collabore étroitement avec ses partenaires du Groupe des cinq ainsi qu’avec des services de sécurité et de renseignement étrangers de même tendance en vue d’échanger des renseignements. Cela permet au gouvernement du Canada d’être au courant des cybermenaces générales qui touchent ses alliés et ses partenaires du monde entier et de bien fonder ses réactions individuelles ou communes.
Les activités influencées par l’étranger à l’aide de moyens informatiques sont également une priorité d’enquête du SCRS. Des États sont en mesure de mener de telles activités pour s’ingérer dans la vie de membres de communautés d’expatriés au Canada et pour intimider ou faire taire des dissidents politiques, et ils ne s’en privent pas. Des événements survenus récemment dans le monde ont révélé les répercussions que peut avoir l’ingérence étrangère dans des institutions fondamentales, comme les médias, ainsi que ses conséquences importantes sur les systèmes politiques et ses résultats. Les cyberattaques constituent un outil puissant pouvant servir à répandre des informations nuisibles ou mensongères qui minent le discours public.
[Français]
Puisque le Canada et le monde ne cesseront pas d’adopter les technologies numériques et connectées dans leur marche vers l’avant, les cyberattaques demeureront un outil efficace et prisé par de nombreux cyberintervenants. Elles fonctionnent, elles sont peu coûteuses, et il est possible de nier en être l’auteur. Les cyberattaques parrainées par un État qui gagne en complexité bénéficient de ressources importantes et exclusives. Il s’agit d’une menace en constante évolution qui pèse sur tous les secteurs de la société canadienne.
Sur ce, monsieur le président, je termine mon allocution et je suis prêt à répondre à toutes vos questions.
Le vice-président : Merci beaucoup, monsieur Lowson.
[Traduction]
La sénatrice Wallin : J’ai deux questions connexes. La première s’adresse à M. Hatfield. Au moment où nous commençons notre étude et où les Canadiens examinent cette information, tout le monde sera un peu étonné de constater qu’en matière de cybercriminalité, Sécurité publique n’est ni un organisme de réglementation, ni un organisme d’application de la loi; qu’aucun individu n’a l’obligation de lui dire que quelque chose s’est produit; et qu’on ne peut pas forcer quelqu’un à le faire. Croyez-vous que ces règles devraient changer? Si je pose la question, c’est que le M. Doran a dit que parce que les cybercrimes ne sont pas signalés, les organismes d’application de la loi ne peuvent pas établir de liens entre les crimes — ce sont ses mots — et parallèlement, la demande dans ce domaine a surpassé la capacité. Monsieur le surintendant, demandez-vous des fonds ou un changement de politiques, ou encore les deux?
M. Hatfield : Je vous remercie de la question.
Je dirais tout d’abord qu’il y a une différence entre un cybercrime et un incident technique sur un réseau informatique. Lorsqu’un partenaire communique avec Sécurité publique Canada et lui dit qu’il croit voir quelque chose d’étrange sur son réseau, cela ne veut pas nécessairement dire qu’un crime a été commis et qu’il y a eu violation de renseignements. Il y a une distinction à faire. Sécurité publique Canada se concentre sur l’information technique sur la sécurité des réseaux et aide ses partenaires à sécuriser leurs réseaux et il s’agit de transmettre tout ce que nous apprenons à d’autres partenaires.
Pour ce qui est des mesures à prendre, selon l’examen de la cybersécurité qui a été mené ces dernières années, qui incluait une consultation publique, on a fortement demandé à ce que le gouvernement fasse preuve de leadership à cet égard. Tous les commentaires que nous avons reçus portaient grandement sur la réglementation, les normes et d’autres sujets de ce genre. Toutes les idées reçues sont présentement utilisées pour déterminer une nouvelle avenue pour le gouvernement.
La sénatrice Wallin : Est-ce qu’une date a été fixée à cet égard?
M. Hatfield : Je crains de ne pas avoir de date à vous fournir, sénatrice.
M. Doran : Il ne s’agissait pas ici de demander des fonds ou un changement de politique. Nous collaborons avec nos partenaires du gouvernement pour essayer de trouver une solution.
En ce qui concerne notre capacité, elle a été surpassée. Le fait est, et cela n’étonnera personne, que même si nous avions toutes les ressources au monde, il y aurait toujours des dossiers que nous ne pourrions pas régler. Telle est simplement la nature de la cybercriminalité.
Pour nous, il s’agit à la fois des progrès technologiques qui changent très rapidement les choses sur le plan de la cybercriminalité et de notre incapacité d’avoir les effectifs nous permettant d’aller au fond des choses. Cela dit, nous suivons un modèle selon lequel la priorité est accordée aux plus grandes menaces, et ce sont les dossiers auxquels nous travaillons. J’estime que nous travaillons à ceux qui préoccupent davantage les Canadiens.
La sénatrice Wallin : Le signalement obligatoire serait-il utile ou ne ferait-il qu’accroître votre charge de travail?
M. Doran : J’ignore si le signalement obligatoire serait nécessairement utile. Toutefois, si nous étions en mesure de regrouper les rapports et de bien les analyser, nous pourrions établir des liens entrent un dossier de Vancouver et d’autres dossiers, de Calgary et de Toronto, et nous rendre compte qu’il s’agit des mêmes responsables, ce qui ne se fait pas actuellement. Cela se fait un peu, mais pas autant que nous le souhaiterions.
Le sénateur Wetston : Je vous remercie de votre présence. Je voulais explorer un thème général avec vous. Vous pouvez tous répondre si vous le voulez. Ma question ne s’adresse pas à un témoin en particulier. D’après mon expérience — et vous serez probablement d’accord avec moi —, de toute évidence, Internet est la scène de crime du XXIe siècle. Je le décris ainsi, en termes simples.
J’ai lu un rapport du Forum économique mondial, du forum de Davos, soit le rapport sur les risques. On y constate que la cybersécurité représente l’un des grands risques commerciaux de nos jours. Je suppose que c’est l’avis de tous les gens ici présents, mais je le dis dans le contexte de ma question.
J’aimerais savoir si vous êtes d’avis qu’il ne s’agit que d’une question de TI ou s’il y a autre chose. Si vous me le permettez, je vais poser toutes mes questions maintenant.
Je veux poser ma question de cette façon parce qu’il ne s’agit pas seulement d’une question de TI et, évidemment, votre expertise est importante à cet égard. Les technologies que nous avons augmentent les risques pour le marché. Ainsi, une technologie qui crée les avantages crée également les occasions de commettre des cybercrimes et de causer des perturbations. Comment décririez-vous la situation du Canada en ce qui concerne l’état de préparation pour lutter contre la cybercriminalité et les cyberattaques en général?
M. Hatfield : Je vous remercie, sénateur. Vous avez dit que le cyberespace est la scène de crime du XXIe siècle et que la cybersécurité représente l’un des principaux risques commerciaux. J’ajouterais que le cyberespace est le terrain de jeu, le marché et l’école du XXIe siècle.
Concernant votre deuxième question, quelle que soit la technologie que nous avons créée, qu’il s’agisse d’un voilier pour un bateau à voile, d’une machine à vapeur ou de l’électricité, des dangers y sont associés. Essentiellement, en tant que société, nous avons appris à gérer et à atténuer les risques tout en tirant parti des avantages.
Je remarque qu’un certain nombre d’entre vous ont une tablette. La tablette, en tant que segment de marché, n’existait pas il y a huit ans. Lorsque Steve Jobs l’a présentée, en 2010, la plupart des gens croyaient qu’il était fou. Voilà la vitesse à laquelle les changements technologiques s’effectuent.
Quel est l’état de préparation du Canada? Le Canada a d’énormes capacités en la matière. C’est un chef de file dans bien des secteurs liés à la cybersécurité. Ce que fait le Canada dans le domaine de la recherche quantique est inégalé dans le monde. Son secteur des technologies de l’information et des communications est vaste et bien établi. D’après notre position et notre travail de collaboration avec nos partenaires, nous avons le sentiment que nous occupons une place de choix dans ce secteur.
S’agit-il donc seulement d’une question de TI? Non, absolument pas. La cybersécurité concerne les gens, les processus et la technologie, bien sûr. Or, les problèmes ou les risques technologiques ne peuvent pas être éliminés qu’à l’aide de la technologie; ils sont éliminés par les gens qui unissent leurs efforts pour trouver des solutions.
Surintendant Mark Flynn, directeur, Cybercriminalité, Police fédérale, Gendarmerie royale du Canada : Je peux ajouter quelques mots aux observations que vient de faire M. Hatfield. C’est certes plus qu’une question de TI. Les TI constituent un volet très important, mais à mesure que les gens adoptent les nouvelles technologies, quotidiennement, et compte tenu du rythme auquel ils le font, dans l’état actuel des choses, ils doivent trouver un équilibre entre l’utilisation qu’ils en font, la facilité d’accès et les répercussions sur leur vie privée.
Internet et d’autres systèmes en ligne permettent à des criminels et à d’autres acteurs de retirer les composantes d’interactions personnelles, et certaines de ces capacités de communication que, comme nous le voyons, les gens utilisent lorsqu’il y a une menace et lorsqu’il n’y en a pas. La prolifération de tous ces systèmes et communications en ligne et la dépersonnalisation des interactions pour les services bancaires, entre autres, font en sorte que les gens sont vulnérables à cette interaction impersonnelle et à cette ruse que les cybercriminels utilisent pour les exploiter.
Nous sommes donc dans une situation où tout le monde est en train d’en apprendre sur les avantages de l’accès, la protection des renseignements personnels et l’accès qu’on veut avoir dans cet espace par rapport à la mise en place de mesures de protection pour assurer la sécurité. Cela s’inscrit dans un effort constant.
M. Lowson : Je m’en remets grandement à mes collègues, car vos questions portent principalement sur la cybercriminalité. Comme je l’ai mentionné dans ma déclaration préliminaire, elle relève des forces de l’ordre et non du Service canadien du renseignement de sécurité.
Cependant, vous avez dit croire que concernant la cybercriminalité et les cyberattaques, c’est plus qu’une question de TI. Mes collègues ont renforcé cette idée. Je suis d’accord avec eux. Lorsque nous parlons des menaces à la sécurité du Canada, sur lesquelles enquête le service — et encore une fois, ces menaces sont l’espionnage, le sabotage, l’ingérence étrangère et le terrorisme —, nous utilisons le cyberespace comme un outil. Il permet aux acteurs d’être meilleurs dans ce qu’ils font. C’est de ce point de vue que nous examinons les choses. C’est donc lié aux menaces traditionnelles que nous avons toujours examinées, mais ces menaces peuvent être mises à exécution dans un nouvel espace et à un rythme différent. Voilà une partie des difficultés auxquelles nous sommes confrontés lorsqu’il s’agit de l’évolution de la menace.
[Français]
La sénatrice Moncion : Je vous remercie de votre présentation. J’ai travaillé dans le milieu financier et je sais qu'il a toujours été assez bien protégé justement parce que des sommes d’argent importantes peuvent être perdues. Vous avez beaucoup parlé d’infrastructures. Quel genre de réglementation est mis en place pour aider à réduire le nombre d'investigations pour les entreprises qui opèrent des infrastructures et des sites? Tout d'abord, une telle réglementation existe-t-elle pour lutter contre ces fameux crimes? Prenons l'exemple d'Equifax Canada. Elle a créé un problème majeur sur le plan de la sécurité de l’information personnelle de millions de personnes. Quel genre de réglementation est instaurée par rapport à ces entreprises pour alléger votre charge de travail là où il n’y a pas de pare-feu?
[Traduction]
M. Hatfield : Je dirais qu’il faut faire une nette distinction entre les exigences réglementaires que doivent respecter les entreprises et les normes et les technologies qui sont à leur disposition. La cybersécurité est un domaine très bien conçu. Les 20 mesures les plus importantes à prendre pour s’assurer que le réseau est sécuritaire n’ont pas changé au cours des deux dernières décennies. Nous essayons toujours d’inciter les gens à changer leurs mots de passe régulièrement et nous n’y arrivons pas davantage qu’il y a 20 ans. Or, les éléments essentiels sont très bien connus. Les compétences ne manquent pas. Des acteurs extrêmement compétents ont accès à de très bonnes ressources et peuvent aider des entreprises partout au pays.
Pour ce qui est du passage d’une norme ou d’une pratique exemplaire à une réglementation, c’est une question distincte. Sécurité publique Canada n’est pas un organisme de réglementation. Je vous encourage à demander aux organismes de réglementation du secteur financier quels règlements ils imposent à ce genre d’entreprises.
M. Doran : Dans le cas du secteur financier, bien entendu, les renseignements qui sont volés figuraient sur un dossier papier il y a 20 ou 25 ans. On se sert du monde virtuel pour mener des activités, un point c’est tout.
Concernant la réglementation à cet égard — des règlements sur la sécurité, peut-être, et puisque ce n’est pas notre secteur, je ne veux pas trancher sur les des règlements à adopter de quelle que façon que ce soit —, je dirais qu’en général, nous avons de très bonnes relations avec les institutions financières canadiennes, qu’elles collaborent avec nous et vice versa, et que nous avons tous intérêt à veiller à l’intégrité de cette infrastructure.
La sénatrice Moncion : Je suis d’accord avec vous, mais le concept de « système bancaire ouvert » soulève des préoccupations, et le gouvernement fédéral envisage d’ouvrir les réseaux entre les banques. Comment allons-nous résoudre cela?
M. Doran : Je ne connais pas bien ce concept. Du point de vue des enquêtes policières, bien entendu, cela compliquerait les choses, tout comme c’est le cas actuellement pour les devises virtuelles et pour les nouvelles cryptomonnaies qui semblent apparaître de façon régulière.
Tout est plus complexe. Pour revenir à une question précédente, s’agit-il des TI? Nous avons tous dit que ce n’était pas le cas, mais je ne veux pas réduire l’importance des avancées en TI. Vous pouvez vous imaginer à quel point il est difficile de suivre le rythme. Pour chaque tablette dans cette pièce, nous devons trouver une façon de procéder, ou essayer de le faire, et ce n’est qu’un aspect d’une technologie.
Sur le plan des enquêtes, il s’agit d’une tâche énorme. En ce qui concerne le concept de système bancaire ouvert, oui, il y aura des difficultés, et il est à espérer que nous pourrons les surmonter collectivement.
[Français]
Le sénateur Carignan : Je vous écoute et vous dites que la cybercriminalité coûte plusieurs centaines de millions de dollars. Selon les chiffres, c’est peut-être même plusieurs centaines de milliards de dollars par année. J’ai l’impression que le problème est tellement immense qu’on a perdu le contrôle. On est dans une situation où les particuliers et les entreprises doivent prendre en main leur propre sécurité en prévoyant l'installation de dispositifs de sécurité sur leur équipement, sur leur propre système, parce que les services de sécurité n’ont plus les moyens de réprimer les infractions ni de punir les fraudeurs. Est-ce que je me trompe? J’aimerais entendre vos commentaires parce que j’ai l’impression qu’on est dans le Far West virtuel où on n’est pas en sécurité nulle part. Les forces de l’ordre ne sont pas en mesure d’assurer notre sécurité. On doit s’en charger nous-mêmes en prévoyant l'installation de dispositifs de sécurité sur nos équipements et nos systèmes.
[Traduction]
M. Doran : Adam, vous pourrez peut-être parler de la cybersécurité en général, mais c’est évidemment à une échelle très vaste. Or, je ne vois pas une très grande différence entre cette situation et le fait d’installer des serrures sur la porte de son domicile. Nous avons toujours verrouillé nos portes. Nous avons toujours dû nous protéger à moins de vivre en campagne et d’avoir le luxe de connaître tous nos voisins et de nous sentir en sécurité. Selon leurs expériences personnelles, les gens se sentiront plus en sécurité ou moins en sécurité et détermineront le niveau de protection dont ils ont besoin.
L’idée d’assurer sa propre sécurité n’a rien de nouveau, et je pense que les gens ont la responsabilité de se protéger en ligne, comme ils le feraient à leur domicile et dans la rue, et d’agir avec prudence.
Nous avons un effet. Dire que l’on a perdu le contrôle… eh bien, pour être franc, je ne peux pas dire si c’est le cas. J’estime que pour ce qui est des enquêtes, nous avons les choses bien en main, que nous menons les enquêtes et que nous réalisons des progrès, et nous mettons des gens en prison. Ce n’est pas nous qui le faisons, mais bien les tribunaux, sur la base des éléments de preuve que nous recueillons. Je me sens très à l’aise à cet égard. Encore une fois, la cybercriminalité est de nature extensible. Pourrions-nous en faire davantage? Oui. Les gens pourraient-ils en faire plus pour assurer leur propre sécurité? Absolument.
[Français]
Le sénateur Carignan : Combien d’infractions ont été rapportées et combien de personnes ont été condamnées en cybercriminalité?
M. Doran : Je ne peux pas vous donner de réponse, parce que la cybersécurité est la responsabilité de tous les corps policiers au Canada. Donc, les statistiques proviennent de Toronto. Je ne saurais vous répondre.
Le sénateur Carignan : Les vôtres?
M. Doran : Je peux noter la question et vous donner une réponse plus tard.
Le sénateur Carignan : Voyez-vous le dilemme? Où allons-nous déployer nos ressources? Allons-nous mobiliser davantage nos ressources dans les services de police qui semblent avoir de la difficulté à débusquer les fraudeurs ou est-ce qu’on confie plus de ressources aux entreprises, aux services financiers, aux particuliers pour qu’ils investissent dans des systèmes de protection autonomes?
M. Doran : Est-ce une question?
Le sénateur Carignan : Oui.
[Traduction]
M. Doran : Il doit s’agir d’une démarche exhaustive. Je ne crois pas qu’on puisse investir dans un seul secteur et s’attendre à ce que le problème disparaisse. Il faut qu’une démarche équilibrée soit adoptée. Nous faisons beaucoup de travaux de prévention. Nous essayons de montrer aux gens comment se protéger, et nous menons des enquêtes, et nos collègues font la même chose, sauf pour ce qui est des enquêtes, au gouvernement.
Il faut qu’une démarche exhaustive et multidimensionnelle soit adoptée pour régler la question.
M. Flynn : Bon nombre de ressources techniques dans les unités de cybersécurité du secteur privé très compétentes nous interpellent pour ce qui est de l’ajout des éléments que la police a concernant les autorités judiciaires, pour essayer de retirer du système les gens qui commettent ces crimes.
Comme l’a dit le surintendant principal, c’est un équilibre entre ce qu’ils sont capables de faire avec les compétences et les autorités du secteur privé, combiné aux pouvoirs qui sont limités à la police et à d’autres organismes pour prendre des mesures afin d’augmenter la capacité phénoménale qui existe aujourd’hui dans le secteur privé.
La sénatrice Ringuette : Merci, messieurs. Je me dois de poser des questions qui, de mon point de vue, sont d’ordre pratique. La première porte sur l’affaire Equifax; les données personnelles de 100 000 Canadiens ont été obtenues lors d’une cyberintrusion, de sorte que ces 100 000 Canadiens risquent maintenant d’être victimes de vol d’identité et d’argent. Qui gère ce dossier? Qui est chargé de l’enquête dans ce dossier? Equifax indique avoir communiqué avec ces Canadiens pour les informer que leurs renseignements personnels ont été divulgués, mais cela nécessite un suivi. Une lettre d’Equifax ne suffit pas. Comment procédez-vous dans de tels cas?
M. Flynn : Dans une telle situation, en particulier dans le cas d’un incident qui a une ampleur mondiale comme l’affaire Equifax, la GRC a l’habitude — de façon générale, afin de ne pas aller dans les détails d’un incident précis — de collaborer étroitement avec les autres organismes d’application de la loi internationaux qui interviennent dans le dossier. Nous cherchons à savoir où sont les infrastructures, les victimes et les auteurs potentiels. Nous collaborons avec les forces policières de partout dans le monde pour cibler ces individus, découvrir leur identité et les traduire en justice en vertu des lois du pays où ils ont mené leurs actions, ou des lois canadiennes, le cas échéant.
Quant aux victimes et aux nombreuses personnes dont l’identité est potentiellement compromise, nous surveillons les mesures qui sont prises pour veiller à ce qu’elles soient informées. Toutefois, notre objectif premier est d’enquêter sur l’incident et de nous assurer que leurs renseignements personnels seront protégés le mieux possible, à l’avenir.
Il est extrêmement difficile pour la GRC d’obtenir la liste des centaines de milliers ou même des millions de personnes dont l’identité a été potentiellement compromise. Nous sommes donc très heureux lorsque le secteur privé prend des mesures adéquates pour informer les gens d’un incident lié à leurs renseignements personnels pour qu’ils puissent prendre les mesures appropriées.
La sénatrice Ringuette : Ce n’est pas uniquement une question de suivi immédiat. Dans cette affaire, Equifax vous a communiqué les données personnelles qui ont été volées pour que vous soyez au courant et que vous puissiez travailler avec les Canadiens touchés pour les aider à se protéger contre le vol d’identité et d’argent.
En ce qui a trait aux victimes, vous devez également mettre en place un processus proactif. Le faites-vous?
M. Flynn : Dans bien des cas, les informations personnelles sur les personnes touchées par un vol de renseignements personnels par un cybercriminel quelconque ne sont pas nécessairement communiquées aux services policiers ou à d’autres entités. Ces renseignements sont toujours confidentiels, et je vous assure que beaucoup de gens ne voudraient pas qu’ils soient communiqués directement aux services policiers.
Les informations qui sont fournies aux services policiers ou auxquelles ils ont accès par l’intermédiaire de diverses autorités judiciaires sont celles dont ils ont besoin pour recueillir les preuves nécessaires pour traduire les auteurs en justice.
La sénatrice Ringuette : Donc, autrement dit, vous ne connaissez pas l’identité des victimes.
M. Flynn : En effet, dans bien des cas, nous n’avons pas les informations personnelles sur toutes les victimes.
La sénatrice Ringuette : Wow.
M. Doran : Vous devez comprendre que du point de vue des enquêtes, et non du point de vue de l’application de la loi en général, nous n’avons pas nécessairement besoin de ces renseignements pour mener notre enquête, qui porte sur l’administrateur, l’infrastructure et l’argent. Voilà notre mandat.
Toutefois, concernant l’autre point que vous avez soulevé, la sensibilisation du public et des victimes potentielles sur les menaces qui pourraient les toucher, nos activités en ce sens se font principalement par l’intermédiaire du Centre antifraude du Canada, qui est situé à North Bay. Le centre reçoit les appels de signalement des fraudes, des escroqueries et des choses de ce genre; il recueille ces informations et tente d’établir un tableau d’ensemble de la situation. Le centre a un programme destiné aux aînés qui sert à communiquer avec les aînés qui ont été victimes afin de leur fournir des trousses d’information et de les renseigner sur les nouvelles tendances en matière de fraude. Ces activités se font à l’échelle nationale.
Nous menons également une campagne de sensibilisation et de prévention, mais M. Flynn parle plus précisément du processus d’enquête. Nous recherchons les auteurs, ceux qui sont derrière les ordinateurs. En ce qui concerne les victimes, c’est malheureux, mais la victime principale, c’est Equifax. C’est sur cette société que nous devons nous concentrer, car c’est elle qui détient, dans ses systèmes, les informations dont nous avons besoin pour remonter à la source du problème.
La sénatrice Ringuette : Il y a une faille dans ce cycle: les victimes.
Monsieur le président, puis-je poser mon autre question d’ordre pratique?
Le vice-président : Nous allons inscrire votre nom pour le deuxième tour pour que vous puissiez poser votre autre question. En avez-vous terminé avec la première?
La sénatrice Ringuette : Nous devons reconnaître que l’actuel éventail de mesures de protection contre les cyberattaques ne comprend aucun mécanisme réel pour les victimes.
Le vice-président : Nous pourrons aborder cet aspect de façon plus approfondie pendant le deuxième tour. Cela leur donnera l’occasion d’y réfléchir.
[Français]
Le sénateur Massicotte : Merci de comparaître devant notre comité. J’essaie de comprendre, au départ, l’envergure du problème. Vous dites, monsieur Doran, qu’on manque de ressources pour réagir. J’ai l’impression d’être au téléphone avec un représentant de HP ou de Microsoft qui tente de m’expliquer comment opérer mon ordinateur et j’ai de la difficulté à comprendre l’essence de ce qu’il me dit.
J'aimerais faire un petit exercice avec vous. Disons que vous disposiez de deux minutes avec le premier ministre du Canada et les premiers ministres des provinces pour leur expliquer l’importance et la sévérité du problème, et pour leur faire part du budget et des règlements dont vous avez besoin pour faire un très bon travail. J’ai l’impression que nous sommes devant un gros problème, que nous sommes engagés dans une course avec des bandits, et, à ce point-ci, je me demande si ce n’est pas eux qui la gagnent. J’aimerais que vous nous donniez un aperçu de ce dont vous avez besoin. Le problème est-il majeur, est-il important? Je pense qu’il est très important.
[Traduction]
M. Doran : Le problème est important. Pour ce qui est de l’ampleur des pertes liées à la cybercriminalité comparativement aux pertes qu’on observait avant que cela n’existe, je devrai vous revenir là-dessus. De toute évidence, cela a augmenté, mais je ne suis pas prêt à dire que cela a augmenté exponentiellement au point de devenir incontrôlable, comme votre collègue l’a mentionné plus tôt.
Faut-il sensibiliser davantage le public? Absolument. Faut-il inciter les gens à prendre des précautions? Absolument. Il est extrêmement important d’informer les gens sur les diverses escroqueries et attaques qui se produisent. Nous le faisons. Pouvons-nous en faire davantage? Probablement.
Quant aux enquêtes comme telles... En fin de compte, cela pourrait devenir une décision de politique sur le caractère raisonnable d’une enquête et sur ce qui va trop loin. Nous ne parviendrons jamais à éliminer cela totalement.
Le sénateur Massicotte : Ce que j’entends, c’est qu’il s’agit d’un problème parmi tant d’autres qui ne nécessite pas une attention particulière ou des ressources financières supplémentaires, que c’est un problème ordinaire. Est-ce la bonne impression?
M. Doran : Non; c’est un problème qui nous préoccupe énormément. C’est un problème grandissant qui évolue aussi rapidement que la technologie et l’accès à la technologie par des gens qui souhaitent l’utiliser à mauvais escient.
Le problème n’est pas mineur; il est majeur. Je ne peux tout simplement pas vous donner un ordre de grandeur comparativement au crime organisé ou à d’autres activités criminelles, mais je dirais que cela a certainement pris de l’ampleur.
Le sénateur Massicotte : Ce que je crains — et vous pouvez répondre —, c’est que nul n’est conscient de ce qu’il ignore. Donc, vous parlez de choses dont vous êtes au courant. Ce qui me préoccupe, c’est l’ampleur de ce phénomène, et je suis prêt à parier que beaucoup de personnes âgées répondent à ces courriels, perdent beaucoup d’argent et ne le signalent jamais, que ce soit à leurs enfants, à vous, ou à la police locale. Les criminels sont si habiles. Que savez-vous de ce qui ne vous est pas signalé? Pas grand-chose, je suppose.
M. Doran : Nous considérons que la sous-déclaration est un problème important. Je suis tout à fait d’accord avec vous là-dessus. Je pense aussi que la sous-déclaration est un problème pour toutes les formes de crimes connus, notamment les introductions par effraction. Nous savons d’ailleurs que c’est le cas pour les agressions sexuelles, et cetera. C’est un problème récurrent dans les enquêtes sur les crimes.
Cela dit, la question est de savoir si les efforts que nous menons en ce sens incitent plus de gens à signaler les incidents. La réponse est oui. Cela fait partie de notre stratégie en matière de cybersécurité. Le gouvernement en général tente d’inciter les gens à signaler les cas davantage pour avoir une meilleure vue d’ensemble de la situation. Vous avez raison de dire que nous n’en avons pas une idée absolument précise. Nous avons un portrait général; on ne peut savoir ce qu’on ignore, mais nous pouvons faire des projections. Je crois savoir que le Centre antifraude du Canada estime que le taux de sous-déclaration se situe bien au-delà de 50 p. 100.
Le sénateur Massicotte : Je dirais, en tant que citoyen canadien, étant donné que cela semble être une compétition, que les malfaiteurs ont beaucoup d’argent et qu’ils peuvent embaucher les meilleurs pirates informatiques, tandis que votre équipe a des fonds limités. J’espère que vous gagnerez. C’est un enjeu important.
M. Doran : Soyons francs: nous n’avons jamais réussi à résoudre tous les crimes. Nous faisons notre possible pour résoudre un nombre suffisant de cas, pour protéger les gens bien et pour assurer le bon fonctionnement de nos collectivités afin que la population se sente en sécurité. Je pense que nous y parvenons. Toutefois, nous n’allons pas jusqu’à croire que nous pourrons complètement éliminer la cybercriminalité ou la criminalité en général.
La sénatrice Unger : Merci de vos exposés. J’aimerais soulever un autre problème, ou peut-être plusieurs; je n’en suis pas certaine.
Vous savez probablement qu’il a récemment été annoncé, dans une université belge, que les pirates informatiques ont découvert comment percer le chiffrement WPA2 utilisé pour les réseaux sans fil. C’est un problème grave, évidemment, puisqu’il touche tous les appareils modernes, notamment les téléphones cellulaires, les tablettes, les postes de travail, les routeurs, les imprimantes, et cetera. L’un d’entre vous aurait-il des commentaires à ce sujet? Comment pouvons-nous commencer à assurer la cybersécurité, alors que de telles vulnérabilités sont possibles?
M. Hatfield : Je précise que ce problème a été découvert par les acteurs du secteur des technologies au début de l’année. De nombreux fabricants ont déjà créé des correctifs et des rustines pour atténuer le problème pour leurs appareils.
En général, lorsque les problèmes de ce genre sont découverts — ils sont bel et bien découverts, puisqu’il existe toujours des failles, étant donné qu’il est impossible de concevoir un système parfait —, les acteurs du milieu des technologies et les spécialistes internationaux de la cybersécurité tendent à réagir extrêmement rapidement.
Lorsque l’annonce sur ce problème précis a été faite, beaucoup de questions ont été soulevées au gouvernement du Canada. Nos spécialistes des technologies de l’information étaient au courant et s’attaquaient déjà au problème.
Je dirais que les gens du Centre de la sécurité des télécommunications seraient les mieux placés pour traiter des aspects techniques des solutions technologiques en matière de cybersécurité. Ils seraient capables de répondre à cette question de façon détaillée.
La sénatrice Unger : Monsieur Hatfield, vous avez indiqué que nous sommes des chefs de file mondiaux de la cybersécurité et de la lutte contre la cybercriminalité. Comment le Canada se compare-t-il aux États-Unis? Dans l’examen de la cybersécurité, on demande au gouvernement de faire preuve d’un leadership accru à cet égard. En quoi cela consistera-t-il?
M. Hatfield : Pour ce qui est d’une comparaison aux États-Unis ou à d’autres partenaires, nous consacrons beaucoup de temps aux discussions avec nos homologues internationaux. Je parle de moi-même et de mon organisation pour ce qui est des politiques en matière de cybersécurité, et de mes homologues, dans leurs domaines de compétence respectifs. Nous leur demandons: « Que faites-vous? Comment réglez-vous ce problème? » On nous répond actuellement: « C’est une excellente question. Qu’en est-il de votre côté? »
Nous avons constaté que nous nous comparons très bien avec nos alliés internationaux quant à notre compréhension des enjeux et des mesures que nous mettons en œuvre pour les régler. Tous les ordinateurs de la planète utilisent le même protocole IP, et nous utilisons tous un iPhone d’Apple conçu en Californie. Nous avons tous les mêmes problèmes technologiques. Pour bien des aspects liés à la cybersécurité, nous sommes sur un pied d’égalité, voire en avance. Dans certains créneaux, comme l’informatique quantique, le Canada est un précurseur sur la scène internationale.
L’examen de la cybersécurité, en cours depuis deux ans, vise à favoriser un accès élargi à l’échelle du pays et à déterminer les prochaines étapes pour le gouvernement. Toutes les informations recueillies servent à redéfinir les orientations du gouvernement.
La sénatrice Unger : Enfin, la Russie devrait-elle être une préoccupation?
Le vice-président : Attendez-vous une réponse à cette question, ou faites-vous simplement la lancer, comme cela?
La sénatrice Unger : J’invite toute personne qui souhaite y répondre de le faire. Sinon, cela ne pose pas problème.
Le vice-président : Nous devrions nous préoccuper de tout le monde.
La sénatrice Unger : Je pense en particulier à l’enquête du Sénat aux États-Unis. On tente de trouver des réponses à des enjeux forts intéressants, et je me demandais si nous devrions avoir ces mêmes préoccupations.
M. Doran : Cette question est hors de notre champ de compétence. Toutefois, en ce qui concerne l’aspect sécurité et la cybercriminalité, je serais préoccupé par beaucoup de gens dans de nombreux pays.
Le sénateur Campbell : Merci d’être venus aujourd’hui.
Lorsque j’appuie sur le bouton d’impression, je m’étonne toujours de voir qu’une machine de l’autre côté de la pièce imprime quelque chose. Voilà mon niveau d’expertise à cet égard.
Mes préoccupations ne portent pas sur Equifax. Elles ne portent pas non plus sur les personnes âgées qui se font arnaquer. Cela me préoccupe, évidemment, mais ces problèmes existent depuis toujours. J’ai déjà été membre de la GRC, et nous réglions les problèmes autrement.
Ce qui me préoccupe, ce sont les menaces d’une grande complexité où se superposent, en une sorte d’amalgame, le crime organisé, les gouvernements étrangers et le terrorisme. Lorsque je regarde ce qui se passe ici et que je vois trois, quatre ou cinq organismes différents, auxquels s’ajoutent des acteurs du secteur privé, qui jouent tous un rôle dans ce domaine, je me préoccupe de la façon dont nous avons organisé tout cela et je me demande si nous avons la capacité d’intervenir rapidement. Je serais préoccupé de constater que nous n’avons plus d’électricité. Par exemple, WikiLeaks est-elle une organisation criminelle? Je ne sais pas, mais il semble que ce soit le cas. Je pense qu’il est possible d’avoir accès à tout ce qu’on veut. Il n’existe aucun système auquel on ne peut avoir accès.
Comment coordonnez-vous les activités à notre niveau lorsque tous ces facteurs entrent en jeu? Nous savons que tout se recoupe. Des gens vendent des drogues, ce qui rapporte de l’argent, puis cet argent sert à financer le terrorisme ou est envoyé à des gouvernements étrangers qui n’entretiennent aucune relation commerciale avec le reste du monde. Comment réagissons-nous, dans de tels cas?
M. Hatfield : Votre question sur la coordination est une excellente question. Dans notre domaine, on dit souvent que la cybersécurité est l’affaire de tout le monde et que tous ont un rôle à jouer. Le gouvernement canadien a chargé Sécurité publique Canada de la coordination des politiques en matière de sécurité à l’échelle gouvernementale. Nous avons mis en place des mécanismes qui favorisent les échanges réguliers entre les responsables de divers ministères. Je pourrais certainement nommer 14 ministères qui jouent un rôle actif pour divers enjeux de cybersécurité, notamment l’application de la loi, la sécurité nationale, le renseignement, la protection des infrastructures essentielles, les affaires étrangères, les enjeux financiers, et cetera. Il existe dans notre milieu une compréhension profonde de la nécessité d’une action concertée et de veiller à la prise en compte des divers aspects de la cybersécurité dans une perspective globale.
Il est vrai que les divers organismes ont chacun des mandats, des responsabilités et des rôles précis. Cela vaut aussi pour le secteur privé.
Tout le monde a un rôle à jouer. Personne ne se préoccupe davantage que vous de vos systèmes, de vos propres informations et de votre propriété actuelle. Il incombe aux acteurs du secteur privé et aux particuliers de s’informer et d’utiliser l’équipement qu’ils achètent de façon sécuritaire.
Un ingénieur peut installer une ceinture de sécurité dans une voiture, mais vous devez tout de même mettre votre ceinture de sécurité lorsque vous montez à bord. Nous avons appris à le faire et nous convenons tous que cela fait partie de l’usage sécuritaire d’un véhicule.
La coordination est bien réelle. Comme cela a été indiqué plus tôt, la nécessité que le gouvernement exerce une direction accrue et claire sur cet enjeu a été un thème récurrent de l’examen de la cybersécurité. Un autre thème important était celui des préoccupations relatives à la cybercriminalité. Tous ces enjeux sont actuellement étudiés, et une nouvelle politique est en préparation.
Le sénateur Campbell : Comment y parvenez-vous quand les choses évoluent aussi rapidement? Comment réussissez-vous à prendre les devants? Je ne vous interroge pas sur les techniques d’enquête. Chaque jour, on apprend que quelqu’un a fait une découverte ou a réussi à faire quelque chose. Certaines personnes passent leur vie à tenter de percer les mesures de sécurité pour le simple plaisir de la chose. Comment contrer cette menace, compte tenu de l’évolution rapide de la technologie? Réussissez-vous à devancer cette évolution ou tirez-vous toujours de l’arrière?
M. Hatfield : Tout comme vous, nous avons constaté qu’il arrive toujours quelque chose de nouveau, qu’une autre attaque ou une autre violation est survenue, ou qu’un autre pirate a accompli quelque chose. J’ai l’impression qu’on peut aisément perdre de vue le fait qu’une quantité inimaginable d’innovations ont vu le jour dans le monde grâce à la technologie numérique et à Internet. Chaque année, le nombre d’actes de piratage augmente, mais il y a aussi plus de commerce en ligne et d’activités et de gens sur Internet. Le Canada fait figure de chef de file mondial au chapitre de l’utilisation des ordinateurs et du temps passé sur Internet par habitant.
Il est facile de voir les mauvaises nouvelles à la une et de constater que les chiffres semblent croître sans cesse, mais les bons chiffres augmentent aussi. Nous ne remarquons pas tellement les avantages que nous tirons d’Internet, mais je ferais remarquer que la présente séance est diffusée sur le Web. Cela n’aurait pas été possible il y a 10 ans, mais aujourd’hui, on n’y pense même pas deux fois.
Il est facile de ne voir que le négatif. Si nous avons posé certaines questions dans le cadre de notre examen de la cybersécurité, c’est pour demander à la population son avis sur la gravité du problème et sur les mesures qu’il conviendrait de prendre au pays. Voilà ce que nous faisons actuellement en vue de proposer une nouvelle stratégie.
Le sénateur Black : Je voudrais donner suite aux excellentes questions que mes collègues vous ont posées, mais tout d’abord, je tiens à vous remercier de témoigner et, surtout, de servir le Canada. Vous accomplissez un travail important, dont nous sommes tributaires, et nous savons qu’il doit porter fruit en grande partie, car nous n’avons pas beaucoup de nouvelles de votre part. J’en suis ravi.
Je comparerais ce que nous avons entendu aujourd’hui à une partie de hockey. Vous êtes les bons, et les pirates forment l’équipe des méchants. Assis dans les gradins, je suis la partie. Qui, des bons et des méchants, gagne la partie? C’est une manière générale de présenter ce que je comprends. Qui l’emporte?
M. Doran : Un de vos collègues a indiqué plus tôt qu’on ignore peut-être ce qu’on ne sait pas. Dans le jeu auquel nous jouons, nous faisons, à ce que je sache, assez bonne figure. Sachez toutefois que le jeu et la saison évoluent, et qu’au fil du temps, nous voyons arriver une nouvelle génération de bons et de mauvais joueurs.
À l’heure actuelle, nous tentons de nous attaquer aux mauvais joueurs. Nous disposons d’une équipe de jeunes hockeyeurs qui sont tout aussi doués que les mauvais joueurs, et ils gardent le rythme. Par contre, une partie de ringuette est en cours sur la patinoire voisine, et nous ignorons ce qu’il s’y passe.
Le sénateur Black : D’après ce que vous nous avez dit, cependant, je présume que nous pouvons aussi compter sur de bons éclaireurs qui tentent de comprendre la partie. Je suppose que quand la Corée du Nord pirate les systèmes de la banque nationale du Bangladesh, vous déterminez ce qu’il s’est passé et adaptez votre plan de match en conséquence. J’imagine que ce serait une présomption juste.
M. Doran : Oui.
Le sénateur Black : Pouvez-vous nous indiquer quels sont les obstacles? Nommez-nous-en trois qui vous empêchent de continuer de gagner la partie. Nous tenons ces séances pour aider cette cause.
M. Flynn : Le principal problème, c’est que nous devons assurer une meilleure coordination avec nos autres partenaires. Nous déployons des efforts en ce sens afin de mieux collaborer avec les corps de police locaux.
Quatre d’entre nous, représentant trois organisations différentes, comparaissent devant vous, et sachez que ce n’est pas la première fois que nous sommes réunis à la même table. Ce qui est remarquable dans les activités que nous mettons en œuvre pour assurer la cybersécurité et le sérieux que nous accordons à la question, c’est que nous avons une relation de collaboration avec tous les ministères concernés. Nous faisons fi de tout élément de concurrence quant aux mandats et aux chevauchements des responsabilités. Lorsque nos mandats se chevauchent, nous considérons cela comme une occasion et une excellente chose, car nous pouvons travailler ensemble et grandement améliorer les choses.
Nous voyons d’un œil favorable tout ce qui peut améliorer la coordination, la collaboration et la communication avec la population afin de renforcer la sensibilisation et les compétences dont nous avons besoin pour nous attaquer à ces crimes.
Le sénateur Black : La coordination constitue donc le principal obstacle. Même si vous affirmez que vous travaillez bien ensemble, des difficultés persistent. Y a-t-il d’autres obstacles?
M. Flynn : Pour nous, c’est toujours une question d’équilibre entre les ressources dont nous disposons, le problème et notre capacité à le résoudre. Mon rôle principal consiste à coordonner la gouvernance et à surveiller les activités, et nous voulons toujours en faire davantage. Lorsque nous cherchons à collaborer et à trouver des ressources auprès du secteur privé, nous sommes toujours à la recherche de moyens d’utiliser ces dernières pour multiplier les ressources existantes. J’emploie le mot « coordination », qui est plus qu’un simple terme indiquant que nous devons mieux communiquer. Il s’applique aux ressources existantes et potentiellement aux nouvelles pour que nous puissions nous attaquer au problème avec une efficacité optimale.
Le sénateur Enverga : Je vous remercie de vos exposés. Nous avons les yeux grands ouverts. Nous voulons vous écouter, bien entendu. Dans ma vie antérieure, j’ai travaillé longtemps en informatique, et je sais que les attaques peuvent survenir en tout temps et à une multitude d’endroits, comme sur un téléphone cellulaire, une imprimante ou autre chose sur les ondes. Voilà ce qui nous intéresse.
Dans quelle mesure sommes-nous prêts et protégés? Où nous situons-nous, sur une échelle de 1 à 10, sur le plan de la préparation et de la protection?
M. Hatfield : J’hésiterais à vous donner un chiffre sur une échelle. Comme nous l’avons souligné, nous ignorons ce que nous ne savons pas. Sachez toutefois que nous travaillons en collaboration, avec les secteurs des infrastructures essentielles du pays, par exemple. Nous collaborons avec tous les secteurs, pas seulement celui des finances, en ce qui concerne l’importance de la technologie numérique et son incidence sur l’automatisation et l’amélioration de l’efficacité et du service. Nombre d’entre nous disposent maintenant d’un compteur intelligent à la maison pour économiser l’énergie dans la province de manières que nous n’aurons jamais imaginées. Grâce à toutes ces innovations, nous dotons nos appareils de technologies numériques. Il peut s’agit d’un compteur intelligent, d’un réfrigérateur ou d’un grille-pain, ce dernier pouvant, une fois branché à Internet, griller les rôties en y inscrivant les prévisions météorologiques, et ce n’est pas là une invention de ma part. Cependant, chaque fois qu’on y installe un dispositif numérique, on ajoute quelque chose qui risque d’être exploité par quelqu’un. Les secteurs des infrastructures essentielles du pays en sont parfaitement conscients.
Ce que je pourrais répondre à cette question et, d’une certaine manière, à la précédente, c’est que les Canadiens sont intelligents. Nous magasinons en ligne et passons beaucoup de temps sur Internet, nos entreprises automatisent leurs activités et tirent parti de la technologie, et nous sommes encore là. Nous aimons cette technologie et nous en profitons, et je ne pense pas que les Canadiens le feraient si cela les mettait en danger. Ils ne continueraient pas d’utiliser la technologie s’ils se faisaient allègrement plumer.
Il existe des problèmes et des risques, mais au regard de notre expertise, de notre degré de sensibilisation et de la coordination dont mes collègues de la GRC ont parlé, je ne donnerai pas de chiffre sur une échelle; je pense toutefois que nous agissons adéquatement et que nous figurons parmi les meilleurs du monde à ce chapitre.
Le sénateur Enverga : Est-ce 50/50 ou dans le milieu? Vous n’avez essentiellement aucune idée de ce qui vous attend dans l’avenir. Est-ce bien ce que cela veut dire? Je sais que vous êtes prêts, mais dans quelle mesure le sommes-nous? Si vous ne pouvez l’indiquer sur une échelle de 1 à 10…
M. Doran : Quand vous dites « dans quelles mesures sommes-nous prêts? »...
Le sénateur Enverga : Dans quelle mesure sommes-nous protégés?
M. Doran : Il serait peut-être utile de clarifier la question. Parlez-vous de la population canadienne en général ou de mon voisin, qui est bien moins prêt que moi?
La situation varie d’une personne à l’autre, car c’est une question individuelle. Certains sont insouciants, alors que d’autres sont très prudents ou paranoïaques. Au chapitre du système, comme Adam l’a fait remarquer, tout va très bien, mais cela n’empêchera pas les imprudents d’être victimes de leur insouciance.
Voilà pourquoi il m’est difficile d’attribuer une note de 1 à 10.
Le sénateur Enverga : Qu’en est-il de l’infrastructure du gouvernement fédéral? Sommes-nous entièrement protégés et prêts à nous défendre?
M. Hatfield : Vous devriez poser la question à Services partagés Canada et au Centre de la sécurité des télécommunications Canada. D’après notre expérience, la sécurité des réseaux du gouvernement du Canada fait l’envie d’un grand nombre de nos alliés, et nous accomplissons un excellent travail à cet égard. Les organismes que j’ai nommés peuvent vous donner des détails à ce sujet, mais nous avons tout lieu d’être fiers de la manière dont nous protégeons notre information.
Le sénateur Enverga : J’aurais une dernière question à ce sujet.
Le vice-président : Vous dépassez votre temps. S’agit-il d’une nouvelle idée ou d’un éclaircissement? Dites que c’est un éclaircissement.
Le sénateur Enverga : Cela concerne les démarches pour rendre le système entièrement sécuritaire.
Proposez-vous des outils législatifs que nous pourrions recommander?
M. Hatfield : Pour ce qui est de dire quels mécanismes et lois il convient d’adopter, l’examen de la cybersécurité est en cours et porte justement sur cette question. Le gouvernement entend proposer une nouvelle voie d’avenir pour le pays à ce sujet.
[Français]
Le sénateur Maltais : Merci, messieurs, d'être ici. Je vais m’adresser à M. Lowson. Dans votre mémoire à la page 4, aux deuxième et troisième paragraphes, on parle de vol de propriété intellectuelle parrainée par un État qui veut nécessairement obtenir des informations qui permettraient à des sociétés étrangères de jouir d’un avantage concurrentiel. Je vous cite : « Cela peut nuire aux négociations liées à des projets d’investissement ou d’achat avec des entreprises canadiennes et au gouvernement du Canada. Cela pourrait entraîner des pertes d’emploi de part et d’autre, soit du gouvernement, des entreprises. » Là-dessus, je vous crois à 100 p. 100. Ces États « pirates » figurent-ils sur une liste et leur nom est-il transmis au pouvoir exécutif du Canada, c’est-à-dire au bureau du premier ministre?
M. Lowson : Merci beaucoup, sénateur, pour la question.
[Traduction]
Comme je l’ai expliqué dans mon exposé, le Service canadien du renseignement de sécurité a notamment pour rôle de prodiguer des conseils au gouvernement fédéral, ce qu’il fait à propos des menaces à la sécurité nationale, y compris celles venant d’acteurs étatiques étrangers. Les personnes qui, au sein du gouvernement, doivent savoir qui sont ces acteurs seront mises au fait de la situation.
J’ajouterais que l’investissement étranger au Canada constitue une question importante. Il est essentiel pour notre économie que les investisseurs étrangers continuent de vouloir investir au Canada. Nous devons toutefois nous montrer prudents. Voilà pourquoi la Loi sur Investissement Canada comprend une disposition exigeant un examen relatif à la sécurité nationale. Le gouvernement prend la question au sérieux, et quand des acteurs qui nous préoccupent proposent d’effectuer des investissements au pays, nous étudierons la question dans le cadre du processus d’examen relatif à la sécurité nationale.
[Français]
Le sénateur Maltais : Merci pour le volet gouvernement. Maintenant, je vais aller du côté des entreprises. Disons qu'une entreprise canadienne de bonne foi négocie un contrat avec un autre pays, qui est sur la liste des « pirates ». Votre service va-t-il communiquer avec l’entreprise pour les prévenir d'être extrêmement prudents? Faites-vous cela? L’entreprise négocie de bonne foi avec un État « qui accepte le piratage ».
[Traduction]
M. Lowson : Peut-être que mon collègue de Sécurité publique Canada voudrait répondre à cette question, car cet organisme est également responsable de la gestion de la Loi sur Investissement Canada. Sachez toutefois que lorsqu’un examen relatif à la sécurité nationale est en cours, toutes les parties concernées par la transaction prennent part au processus.
Le sénateur Tannas : Merci de témoigner. Nous avons beaucoup lu au sujet de l’intelligence artificielle au cours des derniers mois, et je me demandais si vous pourriez nous dire ce que vous pensez du concept voulant qu’on passe soudainement d’une lutte entre des personnes vraiment brillantes et des gens malintentionnés a des machines très intelligentes qui modifient constamment leurs méthodes d’attaque et corrigent le tir en fonction des réactions. Est-ce ce qui est en train de se passer? Risquons-nous de voir l’intelligence artificielle se développer dans ce domaine?
M. Hatfield : Sénateur, l’intelligence artificielle n’arrivera pas du jour au lendemain. Ce n’est pas une destination à laquelle nous allons arriver, mais un processus d’évolution de la technologie.
Il ne fait aucun doute qu’aujourd’hui déjà, des acteurs malintentionnés tentent d’automatiser les attaques, ce à quoi nous avons réagi en automatisant nos défenses. À l’heure actuelle, Internet est géré en grande partie par des machines qui échangent entre elles pour tout faire fonctionner, et des gens tentent de perturber le processus ou d’exploiter le réseau. Des machinent leur font la lutte en temps réel pour qu’ils ne réussissent pas.
De nombreuses organisations pourraient vous fournir des statistiques sur les centaines de millions ou les milliards de pourriels qu’elles reçoivent quotidiennement, lesquels sont arrêtés par un pare-feu. Les sondages de reconnaissance se comptent par centaines de millions sur les réseaux, mais des machines les arrêtent en temps réel et ils n’atteignent jamais d’être humain.
Ces activités sont déjà en cours, et toutes les nouvelles technologies lancées dans le domaine de la technologie de pointe ont été utilisées par des gens de bonne foi, mais aussi par des personnes aux noirs dessins. Nous continuerons de surveiller cette tendance.
Le sénateur Tannas : C’est toutefois à la créativité des machines que je veux en venir. Je sais que des esprits brillants conçoivent quelque chose qui attaquera 50 000 cibles. Mais il s’agit là d’une créativité humaine, issue de bonnes et de mauvaises personnes qui trouvent moyen de parvenir à leurs fins. Les machines remplaceront-elles un jour les humains au chapitre de la créativité, à moins que ce ne soit déjà le cas?
M. Hatfield : Je dirais que les machines réalisent maintenant un grand nombre de tâches que les humains accomplissaient, que ce soit à des fins offensives ou défensives, mais les humains n’ont pas disparu de l’équation; ils travaillent simplement sur d’autres plans de travail et d’obstruction. Mon équipe passe beaucoup de temps à dire quoi faire à nos très brillants ordinateurs, et j’ai encore besoin de bien des gens pour m’aider à leur donner des instructions.
Le sénateur Tannas : J’ai une autre question, simplement pour s’amuser. J’ai adoré le film dans lequel Leonardo DiCaprio incarne Frank Abagnale, un fraudeur et faussaire extrêmement doué. À la fin du film, il finit par travailler pour le FBI. Est-ce que des pirates passent à l’équipe des bons, comme on le lit ou le voit toujours dans les livres et dans les films, quand on donne aux personnes particulièrement talentueuses l’occasion de travailler pour les bons au lieu de les envoyer derrière les barreaux?
M. Flynn : Grâce au recrutement, au maintien en poste et à la motivation de nos employés, nous avons la chance de disposer d’un nombre suffisant d’esprits brillants et talentueux qui s’attachent à résoudre les problèmes auxquels nous nous attaquons.
La sénatrice Ringuette : Vous disiez qu’Equifax est une victime. Cependant, quand une entreprise a affirmé que les renseignements personnels sont protégés, elle n’est plus la victime, mais aussi l’auteur, car elle a failli à son engagement. Que faites-vous en pareil cas? Vous disiez plus tôt que les entreprises sont en quelque sorte des victimes, mais une autre série de crimes a eu lieu.
M. Doran : Je suis entièrement d’accord avec vous. Je ne voulais pas dire qu’Equifax est la seule victime. Il est évident que les gens dont l’identité a été volée et qui ont été lésés dans cette affaire et dans n’importe quel cas sont également des victimes.
Bien que ce soit malheureux, le fait que l’entreprise n’ait pas honoré son engagement ne constitue pas nécessairement un crime. Elle a conclu un contrat avec un citoyen, et le non-respect de ce dernier ne constitue pas nécessairement un crime. Les atteintes à la sécurité dont ont été victimes Equifax et un certain nombre d’entreprises dont nous avons entendu parler ces dernières années, bien qu’elles soient malheureuses et constituent peut-être un non-respect d’un arrangement entre un client et un fournisseur de service, ne constituent pas nécessairement un crime à propos duquel nous enquêterions.
Ce que je voulais dire, c’est que les preuves que nous cherchons sont détenues par Equifax, à moins, bien entendu, que nous n’ayons besoin des documents des victimes également, auquel cas nous rencontrerions aussi ces dernières, mais aux fins d’enquête et non pour des motifs holistiques ayant trait au maintien de l’ordre et à la prévention du crime.
La sénatrice Ringuette : Comme vous êtes en train d’examiner l’ensemble de vos mécanismes, que diriez-vous si une loi stipulait que le fait qu’une entreprise qui affirme protéger les renseignements personnels faillit à son devoir constitue un crime? À mon avis, il existe une autre échappatoire à cet égard.
M. Doran : Il ne me revient certainement pas de dire s’il convient d’adopter des lois. Nous appliquerons celles qui existent, et toutes les lois adoptées qui nous procurent des outils supplémentaires sont assurément les bienvenues.
[Français]
Le sénateur Carignan : Toujours dans le même esprit, j’essaie d’évaluer les ressources qui sont nécessaires. Il y a différents types d’infractions liées à la cybercriminalité. Certains criminels utiliseront la technologie pour commettre une infraction et d’autres cibleront la technologie pour commettre une infraction. Faites-vous la distinction lors de vos enquêtes? Quel pourcentage de vos ressources concentre ses efforts sur la technologie comme cible par rapport à la technologie utilisée pour commettre une fraude?
[Traduction]
M. Flynn : Nous nous intéressons aux deux genres d’infractions et nous utilisons cette distinction pour nous aider à mieux comprendre le problème. Nous nous préoccupons fort du fait que des gens ciblent la technologie et utilisent cette dernière à des fins criminelles, comme mon collègue le surintendant principal Doran l’a indiqué, afin de faire davantage de victimes et d’élargir leur champ d’action à l’échelle internationale.
Nous analysons continuellement la manière dont nous pourrions nous améliorer et renforcer nos capacités internes afin de nous attaquer aux deux problèmes. Nous observons une recrudescence dans les deux domaines. Les criminels adoptent la technologie très rapidement, n’étant pas ralentis par la lourde machine gouvernementale. Nous tentons de surmonter ces obstacles, d’obtenir les ressources appropriées et de les appliquer au problème afin de permettre aux enquêteurs traditionnels de mieux progresser.
Au chapitre de la cybercriminalité, c’est une chance que le secteur privé et d’autres organismes gouvernementaux investissent des sommes substantielles dans la cybersécurité, car si nous agissons adéquatement, nous pouvons faire appel à bien des secteurs pour nous aider à lutter contre le problème. Nous déployons des efforts considérables en ce sens.
Le sénateur Wetston : Nous avons abordé bien des sujets aujourd’hui, et le domaine sur lequel porterait ma dernière question relève de M. Lowson. Nous parlons beaucoup des pirates, de la cybercriminalité, de la cybersécurité et de l’état de préparation. Nous savons que l’industrie canadienne, qu’il s’agisse des institutions financières, des compagnies d’assurance ou d’autres d’entreprises œuvrant dans d’autres domaines, a dépensé des milliards de dollars afin de se prémunir contre les cyberattaques. Je pense qu’il est juste de parler de milliards de dollars; bien que ce ne soit pas un chiffre en soi, il s’agit d’une coquette somme.
Observe-t-on un accroissement des attaques contre la sécurité nationale? Fort de son expérience jusqu’à présent, le SCRS considère-il que ces attaquent augmentent? Je ne vous demande pas de fournir de détails, mais que faites-vous pour prévenir les attaques potentielles à la sécurité nationale, lesquelles visent le gouvernement plutôt que les entreprises, bien entendu?
M. Lowson : Comme je l’ai souligné précédemment, le service considère la cybertechnologie comme un outil permettant aux acteurs de concrétiser des menaces à la sécurité nationale qui ont toujours existé. La Loi sur le Service canadien du renseignement de sécurité, édictée en 1984, énumère les catégories de menace dont j’ai traité dans mon exposé. Ces catégories n’ont pas changé depuis. Ce qui a changé, c’est la manière dont les acteurs mettent en œuvre les menaces, et la cybertechologie est certainement devenue un outil qui leur permet de mener à bien leurs activités d’une manière nouvelle et différente.
C’est un domaine qui évolue rapidement, un domaine qui, comme je l’ai indiqué, permet aux acteurs d’échapper à la surveillance. Il est parfois difficile de déterminer qui est responsable de ces activités. Cela pose-t-il un défi? Oui, cela en pose un. J’ajouterais toutefois que c’est notre travail et qu’il est primordial de surveiller les menaces à la sécurité du pays. C’est ce que font quotidiennement les hommes et les femmes du SCRS, et nous travaillons en collaboration avec nos partenaires de la GRC, du Centre de la sécurité des télécommunications et du Centre canadien de réponse aux incidents cybernétiques pour nous assurer de réagir adéquatement.
La sénatrice Moncion : Pouvez-vous formuler un commentaire sur la prévention et la réaction? Sommes-nous plus portés à prévenir les cyberattaques ou à y réagir?
M. Hatfield : Je dirais que nous faisons les deux, et je le dis très délibérément, car il est arrivé qu’en cas d’atteinte technologique dans un réseau, ce soit la capacité de l’organisation à réagir promptement, grâce à son personnel et pas seulement aux ordinateurs, qui lui a permis de détecter le problème et d’empêcher l’acteur d’arriver à ses fins pour que l’attaque n’ait aucune répercussion sur les activités ou les gens. Toute l’affaire est demeurée un incident technologique.
La cybersécurité, à l’instar de la gestion des urgences en cas de catastrophe naturelle, englobe donc la prévention, les mesures d’atténuation, la préparation en vue de problèmes, ainsi que la capacité de réagir sans tarder, de se rétablir et de reprendre le cours normal des choses rapidement. Je répondrais donc par l’affirmative.
Le sénateur Enverga : Je vous poserais une très brève question, si vous le voulez bien. Il y a quelques mois, l’entreprise chinoise Hytera Communications a acquis Norsat, une entreprise de satellites. Je me demande si vous avez été consultés à ce sujet. Il s’agit d’une entreprise canadienne de technologie de pointe qui a été achetée par les Chinois. Devriez-vous être consultés à propos de ces activités? Êtes-vous intervenus dans le dossier?
M. Doran : La question serait de mon ressort. J’ignore si les autres témoins souhaitent intervenir.
M. Lowson : Je reviendrais aux observations que j’ai formulées plus tôt au sujet des dispositions relatives à l’examen relatif à la sécurité nationale.
Le gouvernement aura certainement été avisé de cette acquisition et l’aura examinée pour déterminer si elle requiert un tel examen.
Je ne suis toutefois pas en mesure de vous dire si cet examen a eu lieu ou non.
Le sénateur Enverga : D’après le rapport, il n’y a pas eu d’examen officiel relativement à la sécurité nationale. Considérez-vous toutefois que vous devriez être consultés la prochaine fois que nous vendons nos secrets industriels?
M. Lowson : Je pense qu’il existe déjà un processus à cette fin et je m’y fierais pour en arriver à une conclusion.
[Français]
Le sénateur Maltais : Je vais faire l’avocat du diable. Le secteur bancaire n’est-il pas un peu l’artisan de son propre malheur? Aujourd’hui, pratiquement tout le monde se sert de l’informatique. Par contre, certaines personnes de 55 ans et plus sont incapables de se servir de l’informatique pour déposer leur argent dans leur compte de banque. S’ils veulent un relevé bancaire, ils doivent le payer. Ces petits dispositifs, les téléphones cellulaires, par exemple, sont-ils totalement sans risque en matière de transactions financières?
[Traduction]
M. Doran : Je suis désolé, mais je ne peux traiter du niveau de sécurité des appareils. Tout système peut être la cible d’une cyberattaque. Un solide système de défense peut prévenir une attaque, mais un pirate futé peut le vaincre. Je ne peux vraiment pas dire précisément si notre système ou d’autres réseaux sont sécuritaires ou non.
[Français]
Le sénateur Massicotte : On a parlé toute la soirée en prenant une position défensive, comme un gardien de but. À l’occasion, on a raison de prendre une position offensive.
[Traduction]
On ne marque pas de buts si on ne passe pas à l’attaque. En quelles circonstances passerions-nous à l’offensive au chapitre de la sécurité nationale? Sur quels critères nous basons-nous pour décider d’intervenir contre quelqu’un au lieu de simplement protéger nos intérêts?
M. Lowson : Comme je l’ai fait remarquer au cours de mon exposé, une disposition autorise le SCRS à prendre des mesures de réduction de la menace. C’est une possibilité qui lui a été offerte dans une récente mesure législative, et nous nous attendons à ce que ces pouvoirs fassent l’objet d’un réexamen dans le cadre de l’étude du projet de loi C-59. Toutefois, si on présume que nous les conserverons, ces pouvoirs nous permettent d’être plus proactifs afin de lutter contre les menaces à la sécurité du Canada. C’est un outil que nous avons actuellement à notre disposition.
Le sénateur Massicotte : Nous ne pouvons agir que si c’est pour réduire les menaces contre nous. Est-ce à cette condition seulement que nous pouvons passer à l’offensive au moyen d’un mécanisme de réduction de la menace?
M. Lowson : Nous devrions probablement définir ce que nous entendons exactement par « offensive ». Si un service du renseignement comme le SCRS existe, c’est pour pouvoir recueillir et analyser des renseignements, et prodiguer des conseils du gouvernement fédéral sur ce qu’il convient de faire dans ces situations. Nous ne sommes pas toujours en mode de réaction, pour en revenir à votre question précédente. La loi nous permet aussi d’être proactifs.
Le sénateur Massicotte : Merci.
Le vice-président : Merci, sénateur Massicotte. Juste avant de conclure, je vous rappelle que le surintendant principal s’est engagé à nous fournir des statistiques. Vous l’avez pris en note. Quand pensez-vous nous les communiquer?
M. Doran : Quand souhaitez-vous les recevoir? Je pense qu’à la GRC, nous pouvons nous adapter en conséquence.
Le vice-président : Nous nous attendrons à les recevoir d’ici une semaine. Mesdames et messieurs, nous poursuivons la discussion sur le même sujet demain à 10 h 30.
Je voudrais remercier nos témoins de ce soir, lesquels représentaient Sécurité publique Canada, la Gendarmerie royale du Canada — merci, messieurs — et le Service canadien du renseignement de sécurité. Vous nous avez aidés à entamer cette nouvelle étude. Merci.
(La séance est levée.)