LE COMITÉ SÉNATORIAL PERMANENT DE LA SÉCURITÉ NATIONALE, DE LA DÉFENSE ET DES ANCIENS COMBATTANTS
TÉMOIGNAGES
OTTAWA, le lundi 27 mars 2023
Le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants se réunit aujourd’hui, à 16 heures (HE), avec vidéoconférence, afin d’examiner, pour en faire rapport, les questions concernant la sécurité nationale et la défense en général; et à huis clos, pour étudier un projet d’ordre du jour (travaux futurs).
Le sénateur Tony Dean (président) occupe le fauteuil.
[Traduction]
Le président : Bonjour et bienvenue à cette réunion du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants. Je suis Tony Dean, sénateur de l’Ontario et président du comité. J’invite mes collègues à se présenter à leur tour.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
Le sénateur Boisvenu : Sénateur Boisvenu, du Québec.
[Traduction]
La sénatrice M. Deacon : Bon après-midi. Marty Deacon, de l’Ontario.
Le sénateur Richards : David Richards, du Nouveau-Brunswick.
La sénatrice R. Patterson : Rebecca Patterson, de l’Ontario.
Le sénateur Yussuff : Hassan Yussuff, de l’Ontario.
La sénatrice Dasko : Donna Dasko, de l’Ontario.
[Français]
Le sénateur Gignac : Clément Gignac, sénateur du Québec.
[Traduction]
Le sénateur Boehm : Peter Boehm, de l’Ontario.
Le président : Pour ceux qui nous regardent en direct de partout au Canada, je rappelle que nous nous concentrons aujourd’hui sur les cybermenaces à l’endroit de l’infrastructure de défense du Canada. Nous avons le plaisir d’accueillir à la séance d’aujourd’hui, l’honorable David McGuinty, député d’Ottawa-Sud et président du Comité des parlementaires sur la sécurité nationale et le renseignement, l’honorable sénatrice Frances Lankin, membre du même comité, Lisa-Marie Inman, directrice générale, et Nabil Bhatia, analyste de révision. Je vous remercie de vous être joints à nous aujourd’hui.
Vous avez été invités pour vous exprimer sur votre Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques qui a été publié le 14 février 2022. Nous allons commencer par vous inviter à présenter vos remarques préliminaires, qui seront suivies de questions de la part de nos membres. Monsieur McGuinty, vous pouvez commencer quand vous êtes prêt. Je vous souhaite la bienvenue.
L’honorable David McGuinty, c.p., député, président du Comité des parlementaires sur la sécurité nationale et le renseignement : Merci beaucoup, monsieur le président, et merci beaucoup, chers membres du comité, de m’avoir invité à comparaître aujourd’hui pour aborder le sujet des cybermenaces à l’endroit de l’infrastructure de défense du Canada. Comme le président vient de l’annoncer, je suis accompagné de la sénatrice Frances Lankin, qui est membre du Comité des parlementaires sur la sécurité nationale et le renseignement depuis sa création. Je suis également accompagné de la directrice générale du secrétariat, Lisa-Marie Inman, à ma droite, et de Nabil Bhatia, analyste de révision au sein de notre secrétariat.
Nous sommes heureux de discuter du Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques. Il s’agit d’un rapport fondamental de 127 pages sur la cyberdéfense des réseaux du gouvernement. Il porte sur une période de 20 ans — entre 2001 et 2021 — choisie délibérément par le comité pour mieux illustrer l’évolution de nos cybersystèmes et de nos cyberréseaux.
Le Comité des parlementaires sur la sécurité nationale et le renseignement a présenté le rapport au premier ministre le 11 août 2021. Le rapport a été déposé devant le Parlement le 14 février 2022.
[Français]
L’examen a permis d’étudier la façon dont le gouvernement protège ses systèmes et réseaux contre les cyberattaques. Le comité a réalisé cet examen en raison de l’importance des systèmes et des réseaux fédéraux qui font partie de l’infrastructure essentielle du Canada.
Des tonnes de renseignements personnels sont stockées dans ces réseaux, lesquels sont utilisés pour offrir pratiquement tous les services gouvernementaux. De plus, ils contiennent des renseignements sur les opérations militaires, les technologies et le matériel de défense du Canada ainsi que des stratégies, données de renseignement et plans d’approvisionnement militaires.
Le vol de renseignements concernant les opérations militaires pourrait révéler des stratégies, des cibles et notre capacité, et ainsi compromettre les opérations militaires, la collecte de renseignement et la sécurité du personnel des Forces armées canadiennes partout dans le monde. Les réseaux gouvernementaux et militaires font continuellement l’objet de cyberattaques par plusieurs États, plus particulièrement la Chine et la Russie. Les réseaux pourraient être vulnérables aux logiciels malveillants et à d’autres formes de cybercrimes.
Aujourd’hui, le gouvernement fédéral est un chef de file mondial en ce qui concerne la protection de ses réseaux. Toutefois, cela n’a pas toujours été le cas. Dans les années 2000 et au début des années 2010, la Chine et la Russie ont réussi à s’introduire dans les réseaux du ministère de la Défense nationale, par exemple. Toujours au début des années 2010, la Chine a lancé des cyberattaques préjudiciables contre 31 ministères fédéraux. Ces événements ont tiré la sonnette d’alarme quant à l’étendue de la vulnérabilité informatique du gouvernement et ses mécanismes de défense inadéquats.
Depuis, le gouvernement a graduellement élaboré un solide système de cyberdéfense, tant sur le plan de la gouvernance que sur le plan des capacités techniques.
[Traduction]
Cela m’amène à discuter de nos conclusions et de nos recommandations. Je commencerai par deux conclusions.
Premièrement, le rapport du comité révèle qu’au fil du temps, l’approche du gouvernement à l’égard de la cyberdéfense est devenue plus globale en considérant l’ensemble des systèmes gouvernementaux comme un tout. Cette approche horizontale a considérablement amélioré les capacités du gouvernement en matière de cyberdéfense. Nous avons toutefois constaté que ces capacités sont compromises par la nature verticale de la structure de reddition de comptes au sein du gouvernement. Les administrateurs généraux ont beaucoup de latitude lorsque vient le temps d’adopter ou non les politiques et systèmes horizontaux et pangouvernementaux en matière de cybersécurité.
Deuxièmement, le rapport révèle que ce ne sont pas tous les organismes fédéraux qui bénéficient de la même protection en matière de sécurité. Deux raisons expliquent cela.
Pour commencer, les politiques en matière de cybersécurité du Conseil du Trésor ne s’appliquent pas à tout le gouvernement. Et si elles s’appliquent, elles ne s’appliquent pas toujours de façon uniforme.
Ensuite, les ministères n’ont pas l’obligation d’adopter les services de cyberdéfense offerts par Services partagés Canada et le Centre de la sécurité des télécommunications. Autrement dit, de nombreux organismes fédéraux évoluent entièrement à l’extérieur du périmètre de cyberdéfense du gouvernement, alors que d’autres choisissent seulement certains services offerts par ces organismes.
Ces incohérences et disparités affaiblissent l’approche intégrée du gouvernement à l’égard de la cyberdéfense. L’interdépendance des systèmes gouvernementaux signifie que le périmètre de cyberdéfense du gouvernement est aussi solide que son maillon le plus faible. Par exemple, le rapport du comité révèle que le ministère de la Défense nationale est responsable de surveiller ses propres réseaux. Bien que le comité n’ait pas examiné la cybersécurité du ministère de la Défense nationale ou d’autres ministères en particulier, il est persuadé que les ministères qui bénéficient des services de cybersécurité de Services partagés Canada et du Centre de la sécurité des télécommunications sont beaucoup mieux protégés que ceux qui n’en bénéficient pas.
Comme le comité l’explique dans son rapport, les outils de défense dynamiques du Centre de la sécurité des télécommunications sont de renommée mondiale, et sont mis à jour constamment pour qu’ils demeurent adaptés aux menaces. Puisque le comité n’a pas examiné le cas du ministère de la Défense nationale en profondeur, il est heureux d’entendre que votre comité envisage d’examiner le système de cybersécurité de ce ministère.
Le fait d’étendre le périmètre de cyberdéfense créé par Services partagés Canada et le Centre de la sécurité des télécommunications à de plus en plus de ministères crée un cercle vertueux. À mesure que d’autres ministères adoptent les services de cyberdéfense du gouvernement, le Centre de la sécurité des télécommunications recueille et analyse d’autres données, ce qui lui permet de mieux protéger les ministères qui font partie du périmètre. Même si la protection offerte par Services partagés Canada et le Centre de la sécurité des télécommunications n’arrivera jamais à contrer toutes les menaces, les services qu’ils offrent, ensemble, constituent la meilleure chance de protéger les données et les systèmes du gouvernement.
Avec toutes ces considérations à l’esprit, le comité a formulé deux recommandations.
Tout d’abord, le comité a recommandé au gouvernement de continuer de renforcer son approche intégrée de la cyberdéfense, tout en restant au fait des évolutions technologiques et du contexte dans lequel les menaces se manifestent.
Deuxièmement, le comité a recommandé au gouvernement d’intégrer tous les organismes fédéraux dans le périmètre de cyberdéfense, de leur fournir une gamme complète d’outils de cyberdéfense et de veiller à ce que l’ensemble des politiques de cybersécurité s’applique à tous les organismes fédéraux, ce qui n’est pas le cas aujourd’hui.
Le gouvernement est d’accord avec les deux recommandations.
[Français]
À vrai dire, le comité se réjouit du fait que, pour la première fois, le gouvernement a fourni une réponse officielle à ses recommandations. Il l’a fait une seconde fois lorsque le rapport spécial du Comité sur Affaires mondiales Canada a été déposé en novembre 2022. Ces réponses permettent d’accroître la responsabilisation et la transparence du gouvernement.
Cela dit, le gouvernement n’a toujours pas répondu aux sept autres rapports du comité, lesquels contiennent 23 recommandations, qui sont toutes énumérées dans le rapport annuel de l’année 2021 du comité. Il ne s’agit toutefois pas du seul défi auquel le comité fait face. Il se heurte également à trois défis relatifs à l’obtention des renseignements auxquels il a droit en vertu de la loi et dont il a besoin pour remplir son mandat.
[Traduction]
Il ne s’agit toutefois pas du seul défi auquel le comité fait face. Il se heurte également à trois défis relatifs à l’obtention des renseignements auxquels il a droit en vertu de la loi et dont il a besoin pour remplir son mandat.
D’abord, plusieurs ministères ont invoqué des raisons ne s’inscrivant pas dans les exceptions législatives de la Loi sur le Comité des parlementaires sur la sécurité nationale et le renseignement pour justifier leur refus de fournir des renseignements. Ils ont notamment refusé à tort de fournir des courriels pertinents et une étude ministérielle.
Ensuite, plusieurs ministères ont, de manière sélective, refusé de fournir des renseignements, même si ces renseignements s’inscrivaient dans une demande d’informations présentée par le comité.
Enfin, le comité craint que les ministères aient une interprétation trop large de ce que signifie « renseignements privilégiés ». Si les ministères avaient l’obligation de divulguer au comité la nature et le nombre de documents pertinents qui sont tenus confidentiels, ainsi que la raison pour laquelle ils le sont, il serait plus facile de résoudre ces problèmes. En effet, cette année, le Parlement doit entreprendre un « examen approfondi » de la Loi sur le Comité des parlementaires sur la sécurité nationale et le renseignement.
Bien que le comité se réjouisse à la perspective de soumettre d’éventuelles recommandations au comité désigné le moment venu, afin de réformer la Loi — en s’appuyant sur ses sept années d’expérience —, j’aimerais mentionner dès aujourd’hui que la loi pourrait être modifiée dans le but d’améliorer l’accès du comité aux renseignements du gouvernement.
En conclusion, j’aimerais souligner que tous nos rapports témoignent du travail acharné de mes collègues du comité. Le rapport sur la cyberdéfense n’est qu’un autre exemple d’un examen unanime et impartial d’une activité gouvernementale primordiale, lequel a été réalisé par un comité composé de sénateurs et de députés dotés d’une habilitation de sécurité adéquate et issus de tous les parties et groupes majeurs.
Je vous remercie pour votre attention.
Le président : Merci beaucoup, monsieur McGuinty. Votre dernier commentaire est très révélateur. Je vous remercie. Je suis sûr que votre présentation va susciter beaucoup de questions.
Avant de passer aux questions, je voudrais demander aux participants présents dans la salle de ne pas se pencher trop près du microphone et de ne pas retirer leur oreillette. Cela permettra d’éviter une rétroaction sonore qui pourrait avoir un impact négatif sur le personnel du comité qui se trouve dans la salle.
M. McGuinty, la sénatrice Lankin, Mme Inman et M. Bhatia sont avec nous aujourd’hui pour une heure. Pour que chaque membre ait le temps de participer, je limiterai les questions et les réponses à quatre minutes. Je vous demande d’être bref et de préciser le nom de la personne à qui vous adressez votre question.
Je cède la parole à notre vice-président, le sénateur Dagenais, qui posera la première question, comme d’habitude.
[Français]
Le sénateur Dagenais : Je suis heureux de vous revoir, monsieur McGuinty. Il est certain que vos rapports sont très importants, encore faut-il que les gens les adoptent.
J’aimerais que l’on parle brièvement des procédures de travail lorsque vous produisez un rapport, comme celui, entre autres, de 2019, où il était déjà question d’ingérence étrangère. Je crois que le breffage sur la sécurité est un des éléments les plus importants de la gouvernance d’un pays.
Comment le premier ministre est-il informé d’un tel rapport? Est-il informé personnellement ou par personne interposée? Lorsqu’il est informé de cas d’ingérence, entre autres, quelles personnes sont présentes à ce moment-là?
M. McGuinty : Premièrement, le comité ne prend pas les décisions à la légère concernant le choix du sujet. Il y a des critères que l’on utilise pour arriver à un choix final. C’est une question de délibérations entre tous les membres du comité. C’est après ces délibérations que l’on procède au travail. On a évidemment une équipe extrêmement qualifiée au sein du secrétariat; on travaille avec les ministères, on travaille avec l’information.
Dans le cas du rapport d’ingérence étrangère, j’oublie la quantité de matériel, mais je peux vous dire que nous avons obtenu plus de 2 500 documents et 37 000 pages de documentation. Donc on étudie le rapport, on élabore un plan pour la revue, et on finalise le travail. C’est après avoir finalisé le travail que le rapport est envoyé au premier ministre et au ministère approprié en version non caviardée. C’est à ce moment que les négociations débutent entre le comité et le gouvernement. La question est de savoir où le gouvernement veut enlever des éléments d’information, mais ce sont des tests bien établis dans la loi.
[Traduction]
Le gouvernement ne peut pas caviarder nos rapports comme bon lui semble. Lorsqu’il reçoit une version non caviardée, le premier ministre ne s’assoit pas avec un marqueur noir pour en biffer des passages. Il s’agit d’un processus itératif entre le comité, le secrétariat et les membres du gouvernement. Ils sont tenus, bien sûr, de caviarder pour quatre raisons essentielles, qui sont énoncées dans la loi.
Une fois la révision finalisée, elle est présentée au premier ministre. Une fois que le premier ministre a reçu une copie de la version non caviardée, je le rencontre et je prends le temps de l’informer des détails de la situation. Le premier ministre prend alors connaissance du dossier, pose des questions, peut faire des objections et demander des informations supplémentaires.
Vous devriez savoir — ainsi que le comité et les Canadiens — que, dans la mesure du possible, notre comité a toujours eu tendance à privilégier la transparence plutôt que le manque de transparence, et ce, dans l’intérêt des Canadiens.
C’est ainsi que le processus fonctionne au fur et à mesure. Bien entendu, une fois que le rapport est caviardé, il doit être déposé dans un délai déterminé à la Chambre et au Sénat.
Le sénateur Richards : Merci d’être présent aujourd’hui, monsieur McGuinty. J’ai deux questions très rapides à poser. Il se peut que vous y ayez déjà répondu dans vos remarques préliminaires.
À quelle allure ces attaques de logiciels malveillants évoluent-elles? Comment pouvons-nous devancer ces attaques, si nous en sommes capables?
Vous avez parlé d’une interprétation « trop large » de l’expression « secret du cabinet ». Je me demande comment cela pourrait entraver les activités de sécurité.
M. McGuinty : L’une des choses qui a frappé le comité lorsqu’il a relevé le défi de la cyberprotection pour le gouvernement fédéral, c’est la rapidité, la multiplicité et les diverses catégories d’acteurs — étatiques, non étatiques, nationaux, internationaux et parfois des acteurs étatiques étrangers agissant par l’intermédiaire d’éléments criminels. En réalité, il s’agit d’un casse-tête assez sophistiqué.
Je pense qu’il est juste de dire que la fréquence des changements, ainsi que la rapidité et la complexité du problème s’accentuent.
En ce qui concerne le secret du cabinet, le comité respecte la nécessité de ce secret et le comprend. Le secret du cabinet a une raison d’être. Toutefois, dans certains cas, le comité a découvert des informations dont on lui avait dit qu’elles relevaient du secret du cabinet dans des documents obtenus par d’autres sources. Nous avons travaillé avec le Bureau du Conseil privé et l’équipe du premier ministre de manière délicate, mais persuasive pour les convaincre de commencer à travailler avec nous de manière plus ouverte au nom des Canadiens; car ces derniers ont besoin de savoir tout ce que nous pouvons leur dire.
Bien sûr, nous sommes contraints par la réalité du traitement de renseignements hautement confidentiels, dans le cadre duquel les sources, les méthodes et les relations internationales doivent être protégées, de même que les hommes et les femmes qui travaillent dans le domaine de la sécurité et du renseignement. Je pense que nous l’acceptons tous. Je pense que les Canadiens l’acceptent. Mais la question du secret du cabinet est une question qui fait l’objet d’un débat organique et permanent.
Le sénateur Richards : Je vous remercie. Pour ce qui est de lutter contre les attaques de la Russie ou de la Chine, par exemple, nous sommes à la hauteur, ou pensez-vous que nous ayons encore du travail à faire, monsieur?
M. McGuinty : Je dirais ceci au nom du comité : nous avons conclu à l’unanimité que le Canada est un chef de file dans le domaine de la sécurité des communications et que, grâce à ses trois principaux acteurs — le Centre de la sécurité des télécommunications, Services partagés Canada et le Secrétariat du Conseil du Trésor — nous avons la chance d’avoir progressé. L’une des choses que nous avons faites avec les six études de cas de ce rapport est d’illustrer l’évolution et la nature itérative de la situation à laquelle nous sommes parvenus.
Le comité n’est pas en mesure de dire que nous pouvons répondre à tous les problèmes sophistiqués, mais nous avons devant nous un système très robuste, sur lequel, par exemple, même le Royaume-Uni s’appuie maintenant de temps en temps. Le travail du Canada par l’intermédiaire du Centre de la sécurité des télécommunications est donc tout à fait novateur et je pense qu’il est reconnu au niveau international.
Le sénateur Richards : Merci.
M. McGuinty : Merci, monsieur.
La sénatrice M. Deacon : Je vous remercie tous les quatre d’être présents aujourd’hui. Je serais heureuse que la question que je pose reçoive une réponse de la part des autres membres autour de la table. Cela ne pose aucun problème.
Je me souviens encore de l’endroit où je me trouvais lorsque le rapport de 2019 a été publié, et des travaux du comité qui, comme vous l’avez dit, présentent un degré élevé d’intelligence et de compétence, et qui sont grandement appréciés.
Monsieur McGuinty, vous avez mentionné lors de votre intervention que les recommandations du Conseil du Trésor, ainsi que les politiques et les services, devraient être étendus à toutes les organisations fédérales, y compris les sociétés d’État. La semaine dernière, j’ai interrogé les témoins du Centre de la sécurité des télécommunications qui étaient présents à ce sujet et on m’a répondu essentiellement que le travail était en cours, mais j’ai eu l’impression qu’il s’agissait presque d’une démarche facultative, sur la base du volontariat. C’est l’impression que j’ai eue. Cela fait un certain temps que les recommandations du comité ont été présentées au premier ministre.
Je me demande si vous pouvez nous expliquer pourquoi, selon vous, il faut tant de temps pour que les sociétés d’État puissent bénéficier de la protection du Secrétariat du Conseil du Trésor en matière de cybersécurité. Vous avez aussi évoqué aujourd’hui un certain nombre de facteurs, comme le fait que certains ne reconnaissent peut-être pas l’urgence de protéger leurs cybersystèmes.
M. McGuinty : Je commencerai par répondre à la question, mais la sénatrice Lankin voudra peut-être intervenir.
Quant à savoir pourquoi le gouvernement n’a pas donné suite plus rapidement à ces recommandations, c’est une question qu’il faut poser directement au gouvernement, et je vous encourage à le faire. Vous pouvez vous adresser au ministère de la Défense nationale ou à toute autre personne que vous souhaitez convoquer, par exemple au Secrétariat du Conseil du Trésor, qui a beaucoup de choses à dire à ce sujet.
Ce que nous savons, c’est qu’il est préférable d’être dans le périmètre que de ne pas y être. Il vaut mieux être entièrement dans le périmètre qu’à mi-chemin. Sortir du périmètre représente un risque non seulement pour l’organisation, la société d’État ou autre, mais aussi pour l’ensemble des organisations fédérales. Nous avons dressé la liste de ceux qui sont dans le périmètre, de ceux qui sont en dehors et de ceux qui sont à la limite du périmètre.
Nous sommes d’avis que le Canada devrait se montrer à la hauteur en tant que gouvernement fédéral. Il y a beaucoup de documents, de données personnelles de Canadiens, de renseignements militaires, de plans, qui sont exposés à des risques. Il s’agit de la sécurité nationale au sens large, et nous essayons donc de montrer, par le biais du rapport et de l’accès à ces informations, que nous pouvons réellement apporter des améliorations dans ce domaine. À bien des égards, c’est la raison pour laquelle nous n’avons formulé que 2 recommandations, et non 20.
Nous espérons que le gouvernement passera à l’action, et je vous encourage à appeler le Secrétariat du Conseil du Trésor pour poser cette question. Madame la sénatrice?
L’honorable sénatrice Frances Lankin, c.p., membre, Comité des parlementaires sur la sécurité nationale et le renseignement : Je vous remercie. Je pense qu’il est important de se rappeler qu’au sein de la structure — et je parle du petit « p » de la politique — dans les relations entre les ministères et les administrations centrales, il y a beaucoup de questions qui tombent de la nacelle pour ce qui est de la conformité, de la non-conformité, ou encore de la volonté de participer s’il ne s’agit pas d’une directive obligatoire. Je pense que c’est la raison pour laquelle il est si important que la recommandation devienne obligatoire.
En réalité, dans nos structures et dans de nombreux ministères et sociétés d’État, les pouvoirs appartiennent à l’adjoint et au ministre. Mais les décisions fiscales qui sont prises, l’allocation des ressources qui est faite, font également partie de ce que nous étudions dans nos examens du cadre. Nous avons observé ce qui était dit et ce qui était fait, et nous avons cherché à savoir si cela concordait. Dans ce rapport, nous constatons très clairement qu’il y a des lacunes et que ces lacunes sont dangereuses pour les Canadiens et pour notre sécurité nationale, en ce qui concerne les données personnelles, comme l’a dit le président.
Je pense qu’il y a une volonté d’agir, mais qu’il y a aussi parfois une forte réticence et une grande inertie au sein des grandes structures ministérielles et dans les relations interministérielles. À ce chapitre, il serait donc important que vous fassiez entendre votre voix. Je suis d’accord avec le président, vous devriez convoquer le Conseil du Trésor, c’est une très bonne idée.
Le président : Merci à tous les deux.
[Français]
Le sénateur Gignac : Vous avez remis un rapport modifié le 8 février 2022 au premier ministre canadien. Le monde a changé depuis février 2022. Lorsqu’on était à Bruxelles, en compagnie de certains parlementaires, on nous disait que dans les semaines qui avaient précédé l’invasion de l’Ukraine, la Russie avait été très active en matière de cyberattaques. Un an plus tard, à la lumière ce que vous savez concernant les tactiques de la Russie, y a-t-il des choses dans votre rapport que vous auriez peut-être dû approfondir davantage ou des éléments sur lesquels vous auriez dû vous pencher davantage, puisque le monde a changé depuis un an?
M. McGuinty : C’est une excellente question, monsieur le sénateur. Ce n’est pas une question sur laquelle le comité s’est penché depuis la présentation du rapport à la Chambre. C’est sûr et certain, on a bien déterminé que l’ingérence étrangère continue. Il n’y a aucun signe de ralentissement; au contraire, on voit des signes d’augmentation, d’accélération, mais en ce qui a trait à la Russie, je suis désolé, nous ne sommes pas en mesure de vous en dire plus. Tout ce qui touche la Russie est déjà dans le rapport. Évidemment, on a beaucoup parlé de la Russie et de la Chine dans notre rapport sur l’ingérence étrangère.
Le sénateur Gignac : Passons à un autre volet du rapport, soit les activités du gouvernement en matière de défense du système, du réseau contre les cyberattaques. Selon votre expérience — ce n’est pas juste le gouvernement fédéral, mais c’est également le secteur privé et les infrastructures privées — y a-t-il des pays dont on pourrait s’inspirer pour qu’il y ait une meilleure coordination? Il y a le gouvernement fédéral, le secteur privé, les universités, cela peut prendre toutes sortes de formes. Existe-t-il un forum au Canada où il y a un échange d’information entre les différentes parties prenantes?
M. McGuinty : Pas à ce que l’on sache, je ne crois pas qu’il y ait un forum au Canada. Le Centre de la sécurité des télécommunications travaille de très près avec nos universités; il y a la question de la propriété intellectuelle et celle des recherches. Il y a beaucoup plus de dialogue maintenant avec les provinces. Le Centre de la sécurité des télécommunications (CST) est aussi en mesure de détecter s’il y a un problème, et dans les études de cas qu’on a présentées dans le rapport, plusieurs fois, on voit que c’est le Centre de la sécurité des télécommunications qui a effectivement trouvé un problème et qui a avisé, qui est allé voir l’organisme ou la société de la Couronne pour lui expliquer qu’elle avait un problème avant même qu’elle le sache. C’est exactement ce qui s’est passé aux Forces armées canadiennes.
C’est donc pourquoi on insiste tellement pour que tous les ministères, toutes les agences, tous les organismes fédéraux doivent faire partie de ce périmètre de protection. Cela aiderait énormément à l’uniformisation d’un système de protection présent partout. Je sais que le CST collabore beaucoup en ce moment avec le secteur privé. Dans l’une des études de cas, il est question d’une société de la Couronne et dans une autre, il y a une société privée qui, pour la première fois, a utilisé les ressources du CST, parce que c’était dans un secteur d’infrastructures essentielles; c’est la première étude de cas au Canada qu’on a publiée dans notre rapport.
Le sénateur Gignac : Merci.
[Traduction]
La sénatrice Lankin : Le président vient de soulever la question du secteur privé et de ses infrastructures essentielles dans ce pays.
J’estime qu’il est essentiel d’améliorer la communication. Le Centre de la sécurité des télécommunications fait un travail remarquable de sensibilisation. Je dirais que le Service canadien du renseignement de sécurité le fait maintenant aussi de manière beaucoup plus large, mais il y a des limites à ce qu’il peut communiquer. Il peut partager ses ressources et ses compétences, mais pas ses connaissances, car il est soumis à des restrictions en matière de sécurité nationale, et que la plupart des responsables du secteur privé chargés des infrastructures essentielles n’ont pas de cote de sécurité. Il en va de même pour le corps policier.
Nous devons nous attaquer à certaines questions si nous comprenons à quel point ce problème et la nature de ces attaques sont omniprésents, d’où ils peuvent venir et où ils peuvent frapper, ce qui a des répercussions sur notre économie et notre bien-être social, ainsi que sur les structures du gouvernement et son rapport à la population.
C’est une question primordiale que vous posez là.
Le président : Merci beaucoup.
Le sénateur Yussuff : Permettez-moi de vous remercier tous pour votre présence et pour votre rapport.
Je suppose que le point positif est que la recommandation a été acceptée par le Conseil du Trésor, de sorte que vous n’êtes pas en train de vous démener ou de plaider cette cause. C’est une bonne nouvelle. Ce qui est plus étonnant, je suppose, c’est le fait que le ministère se soit montré peu enclin à coopérer pleinement pendant que vous réalisiez votre rapport. J’ai du mal à le comprendre, car il me semble que le ministère a tout intérêt à savoir s’il y a des failles et, surtout, à révéler les informations qui pourraient contribuer à améliorer le système, étant donné que vous êtes un comité non partisan, mais aussi parce qu’il faut réviser la loi et voir comment nous pouvons le faire tous ensemble, afin de procéder à une révision approfondie. Je pense que le respect des délais sera une priorité pour le gouvernement. Plus nous attendons, plus les failles sont importantes. Par votre intermédiaire, monsieur le président, j’aimerais demander au témoin de nous dire ce qu’il pense de la nécessité d’agir.
M. McGuinty : L’une des choses que nous voulions faire dans le cadre de cette étude était de rester pragmatique et d’attirer l’attention du lecteur en lui montrant ce qui peut arriver. C’est l’objectif des six études de cas. L’étude de cas sur la Chine montre que 31 ministères ont été ciblés et 8 ont été gravement compromis; dont le Secrétariat du Conseil du Trésor et le ministère des Finances du Canada qui ont été les plus touchés. Dans l’étude no 2, on détaille le cas d’une entreprise privée qui no 3 a utilisé les compétences du Centre de la sécurité des télécommunications pour la première fois. Dans l’étude de cas no 3, on raconte l’histoire de l’attaque HEARTBLEED contre l’Agence du revenu du Canada. Dans l’étude no 4, c’est l’attaque du Conseil national de recherches par la Chine, dont la réparation nous a coûté 100 millions de dollars et qui nous a fait perdre 40 000 fichiers. Dans l’étude no 6, l’attaque d’un acteur parrainé par un État sur le ministère de la Défense nationale, qui a réussi à voler des sommes importantes au ministère en question. Dans l’étude no 6, peut-être la plus inquiétante, on découvre qu’en 2020, un État a compromis le réseau d’une société d’État et d’un ministère, ou comme nous le supposons, de plusieurs ministères.
Nous avons fait ce rapport pour que le gouvernement du Canada et ceux qui sont en première ligne pour prendre ce genre de décisions au Conseil du Trésor, ou encore les directeurs informatiques des différents ministères ou des sociétés d’État puissent comprendre qu’ils pourraient être les prochains à être touchés. Ils pourraient être les prochains. Nous avons aussi pointé du doigt le fait que l’achat d’outils technologiques standardisés pour faire face à cette menace incroyablement sophistiquée n’est peut-être pas la meilleure solution.
C’est la raison pour laquelle nous avons présenté ces six études de cas, pour montrer que chaque ministère ou organisation pouvait se retrouver dans cette situation. Nous espérons que cela aurait permis de frapper les esprits, mais comme la sénatrice Lankin l’a dit plus tôt, je pense que vous avez une voix et un rôle incroyables à jouer, l’occasion de faire intervenir le Secrétariat du Conseil du Trésor, les Services partagés et le Centre de la sécurité des télécommunications pour leur demander où ils en sont, quand ils pourront mettre cela en œuvre et quels sont les risques.
Le sénateur Yussuff : La sécurité n’est pas l’apanage du gouvernement fédéral. Les entreprises du secteur privé sont responsables des renseignements qu’elles possèdent et d’un grand nombre de données qu’elles échangent. Les provinces et les municipalités sont tout aussi vulnérables, car elles gèrent l’infrastructure du pays. Par conséquent, si nous ne savons pas ce qui se passe dans le pays, nous ne pouvons pas nous appuyer sur une législation nationale pour révéler une cyberattaque. Les Canadiens le savent parce que les médias en parlent, ou que leur téléphone Rogers est tombé en panne parce que le transfert de données ou autre a échoué.
À votre avis, est-il souhaitable que nous disposions d’une législation prévoyant le partage de ces données? Car si nous ne sommes pas conscients de la précarité et des défis auxquels nous sommes confrontés, comment pouvons-nous, en tant que pays, nous rassembler pour réfléchir à la manière dont nous pourrions mieux travailler ensemble?
Deuxièmement, les entreprises privées sont bien entendu des entreprises privées, mais elles ont l’obligation d’informer le public, de nous dire ce qu’il y a dans leur base de données, ce que nous devrions savoir, mais cela devrait montrer que, malgré tous leurs efforts, elles sont toujours vulnérables. Si certaines de ces entreprises venaient à fermer, cela pourrait avoir des conséquences majeures sur nos activités. En effet, nombre d’entre elles font partie intégrante de l’économie, dans une large mesure. Comment pouvons-nous protéger l’économie si nous ne savons pas ce qui se passe?
La sénatrice Lankin : Je pense que le point que vous avez soulevé et qui découle de la remarque du sénateur Gignac est important.
Le comité ne s’est pas penché sur la question de savoir comment s’y prendre, et je ne parlerai donc pas au nom du comité à ce sujet. Toutefois, lors de nos échanges, nous constatons, non seulement dans ce rapport, mais aussi dans notre examen général, dans nos examens du cadre et dans certains examens des activités, que le manque de coordination constitue un problème important.
J’ai siégé pendant un certain temps au conseil d’administration de Hydro One et j’y ai appris ce qu’était la coordination pour gérer un réseau nord-américain, ainsi que les problèmes de sécurité pour les infrastructures essentielles. En 2016 ou 2017, le comité a publié un rapport, presque désuet aujourd’hui, sur la technologie des impulsions qui pourrait anéantir nos réseaux de communication. Il existe aujourd’hui des moyens beaucoup plus efficaces et avancés, alors ces questions restent d’actualité, et je pense qu’il convient de les étudier et de déterminer dans quelle mesure nous pourrions nous protéger.
Je voudrais juste faire deux observations. Comme je l’ai déjà dit, grâce aux modifications législatives, le Centre de la sécurité des télécommunications et le Service canadien du renseignement de sécurité ont été autorisés à mener des activités de sensibilisation auprès des collectivités. Ils avaient commencé à le faire, mais la base juridique de ces activités n’était pas clairement établie. Un projet de loi a alors été soumis à la Chambre des communes et au Sénat, puis adopté, et cela leur a permis de mener ces activités. Le Centre de la sécurité des télécommunications s’est montré proactif dans ses échanges, mais tous ces efforts sont limités non seulement par le manque de ressources — ce qui sera toujours le cas — mais aussi par la nature de certaines informations.
Je pense que la question que vous avez soulevée devrait faire l’objet d’un examen et d’un débat de fond. Je n’exprimerai pas mon opinion personnelle à ce sujet, mais je suis préoccupée par les infrastructures essentielles, si je puis me permettre de le répéter.
Le sénateur Cardozo : Je vous remercie de votre présence. J’ai une question d’ordre général, et vous pouvez y répondre au mieux, étant donné que vous travaillez dans la plus grande confidentialité. Je pense que beaucoup de Canadiens s’interrogent sur le fonctionnement d’un comité comme le vôtre, compte tenu du fait que vous venez de différents partis, de la Chambre des communes et du Sénat. Dans la mesure du possible, pouvez-vous nous donner une idée de votre mode de fonctionnement lorsque des personnes ont des intérêts différents? Est-ce que vous fonctionnez un peu comme un comité classique de la Chambre des communes ou du Sénat, où chacun met en avant ses priorités et où il faut essayer de les comprendre? Puis, si vous avez le temps de répondre, pourriez-vous nous expliquer pourquoi certains organismes et certains ministères sont réticents à l’idée de se placer dans le périmètre de protection du Centre de la sécurité des télécommunications?
M. McGuinty : Je pense que le plus grand compliment que le comité ait jamais reçu vient de hauts fonctionnaires qui ont comparu et qui nous ont dit : « Si on ferme les yeux et qu’on écoute la voix du président, on n’a aucune idée de son orientation politique. »
Je pense que nous avons trouvé un moyen de travailler ensemble de manière non partisane et consensuelle, pour traiter la sécurité nationale et le renseignement comme nous estimons qu’ils doivent l’être. Nous mettons de côté les batailles de clocher. Ceux d’entre nous qui ont été impliqués dans la vie politique manient fort bien la joute oratoire. Cependant, ces questions transcendent les partis et les gouvernements, comme en témoignent les inquiétudes exprimées par les Canadiens dans le cadre du débat sur l’ingérence étrangère.
Nous travaillons de manière très consensuelle. Nous examinons et discutons longuement des rapports, phrase par phrase, paragraphe par paragraphe, constatation par constatation et recommandation par recommandation. Si nous ne parvenons pas à nous mettre d’accord, nous recommençons.
Je peux dire qu’en six ans d’existence, nous n’avons jamais eu à procéder à un vote. Il est important que les Canadiens et les sénateurs sachent que le gouvernement n’a pas de majorité au sein du comité. Il a été conçu pour ne pas en avoir. Le but est plutôt, selon nous, de mettre en avant l’objectif et l’importance de ces questions afin d’essayer de formuler des recommandations pour améliorer la situation.
Ce n’est pas facile. Nous expérimentons quelque chose de nouveau. Cela n’a jamais été fait auparavant dans ce pays. Nous avons l’impression de faire des progrès. En général, nous ne nous lançons pas dans des débats politiques à l’emporte-pièce. Nous nous exprimons quand nous avons quelque chose à dire. Aujourd’hui, nous estimons avoir quelque chose à dire. Lorsque nous aurons terminé notre prochain examen de l’ingérence étrangère, nous aurons quelque chose à dire. Nous restons disciplinés. Nous traitons des documents très sensibles, alors il faut rester discipliné.
C’est en quelque sorte notre façon de travailler. Nous choisissons les sujets en fonction de différents critères. La question a-t-elle déjà été étudiée? Présente-t-elle un intérêt pour les Canadiens? Quelle est son importance? Cette question est-elle publique? Nous pouvons aussi traiter des questions qu’on nous soumet. Le premier ministre ou un ministre peut nous soumettre des questions. Cela ne signifie pas que nous sommes tenus de les traiter. Nous pouvons les prendre en considération, les refuser ou les accepter.
Le comité est très indépendant. S’il a besoin de plus d’informations, il les demande à nouveau. Les informations ne manquent jamais, d’ailleurs. Il y a entre 25 000 et 50 000 pages de documents par examen, ce qui représente une énorme charge de travail.
Il est impossible de déléguer le travail. On ne peut pas remplacer une sénatrice exceptionnelle comme Frances Lankin. De toute façon, ce serait impossible, mais le fait est que la sénatrice Lankin ne peut pas demander à quelqu’un de la remplacer. Ce n’est pas pour rien que les membres du comité ont une cote de sécurité très élevée, qu’ils signent un serment et qu’ils renoncent au privilège parlementaire — c’est à cause de la nature de notre travail. Il s’agit d’une mission sérieuse, et nous nous efforçons de relever ce défi pour les Canadiens.
La sénatrice Lankin : Je crois qu’il est important de savoir que notre président a passé en revue certains critères. Nous examinons également la manière dont ces questions impliquent les droits des Canadiens garantis par la Charte. Nous examinons les questions de souveraineté et d’intégrité de nos institutions, ainsi que les incidences économiques et sociétales. Nous faisons appel aux ministères, parfois de façon individuelle, parfois pour de grands exposés transministériels. Nous faisons également appel à des intervenants en dehors du gouvernement, que ce soit des universitaires ou des gens œuvrant pour des ONG qui ont une certaine expertise, afin de connaître les incidences d’un enjeu précis sur les Canadiens. Cela fait également partie de notre mandat.
La loi prévoit deux types d’examens: un examen du cadre réglementaire et un examen des activités. Tout cela doit être relié à la raison pour laquelle nous faisons ce travail, c’est-à-dire les Canadiens. Dans nos rapports, nous tentons d’être vernaculaires avec la population. Comme le président l’a dit, nous tentons d’être aussi transparents que possible. Cela dit, nous n’avons bien sûr pas le choix de caviarder certaines informations en raison des exceptions prévues dans la loi.
La sénatrice Dasko : J’aimerais remercier les témoins d’être parmi nous. J’aimerais poursuivre sur le sujet du type d’informations que le comité est en droit de recevoir et de la granularité de ces informations.
Vous assistez à des séances d’information offertes par des ministères, par le CST et d’autres, mais à quel point pouvez-vous demander des détails? Pouvez-vous demander des informations sur des personnes ou des situations précises qui pourraient même aller au-delà des études de cas comprises dans votre rapport?
Monsieur McGuinty, je reprends votre terme d’« ingérence étrangère ».
M. McGuinty : J’ai ouvert la porte, n’est-ce pas?
La sénatrice Dasko : Oui, et juste à temps pour ma question sur la granularité de l’information.
Pouvez-vous demander des informations sur des personnes susceptibles d’avoir été la cible d’attaques ou sur des situations précises, malgré le fait que les ministères vous empêchent d’avoir accès à toute l’information que vous recherchez, comme vous l’avez dit plus tôt? Qu’avez-vous le droit de recevoir malgré tout cela? Jusqu’où pouvez-vous aller? Quelle est l’étendue des informations que vous pouvez demander et espérer recevoir?
M. McGuinty : Retenez tout d’abord une chose : nous ne sommes pas un comité de surveillance, mais plutôt un comité d’examen, alors nous devons nous plier à certaines restrictions quant au type d’informations que nous pouvons demander. Par exemple, nous ne pouvons pas demander de détails sur des enquêtes en cours.
Si vous me le permettez, je demanderais à Mme Inman de vous parler de la granularité de l’information. Elle est probablement la mieux placée pour vous en parler, puisqu’elle participe souvent aux négociations et aux suivis avec les détenteurs d’informations.
Lisa-Marie Inman, directrice générale, Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement : Je vous remercie de la question. Il n’existe aucune limite quant au degré de granularité que nous pouvons rechercher dans nos demandes d’information. Bien sûr, nous n’avons pas le droit d’obtenir certaines informations. Par exemple, nous ne pouvons pas obtenir des informations sur des enquêtes en cours ou sur des enquêtes policières en cours susceptibles de mener à des poursuites, des informations provenant de sources humaines, des informations relatives au programme de protection des témoins ou encore de l’information confidentielle du Cabinet.
En ce qui concerne la granularité, nous pouvons demander toute information que nous estimons pertinente pour notre examen. Nous recevons régulièrement des informations très détaillées.
Je tiens cependant à préciser une chose. Certes, nous recevons souvent des informations sur des personnes précises, mais notre comité n’a pas de mandat en matière de plainte individuelle. Les gens ne peuvent pas venir à notre comité pour se plaindre d’une situation personnelle, alors nous nous attardons rarement à des cas individuels. Il existe d’autres mécanismes pour ce genre de cas.
Nous avons relevé certaines difficultés dans le processus d’obtention d’informations. Le président a parlé des informations confidentielles du Cabinet. De façon générale, nous avons constaté une belle évolution au sein des ministères et des agences, et particulièrement au cours des cinq dernières années, soit depuis que notre comité existe. Il existe désormais une relation de confiance avec la communauté de la sécurité et du renseignement. Je ne veux pas parler pour eux, mais je dirais qu’ils nous font confiance. Ils savent que nous prendrons les mesures appropriées pour protéger leurs informations. Ils font habituellement preuve d’ouverture et de coopération lorsqu’ils nous transmettent des informations.
Le président a relevé des défis précis, mais nous n’avons habituellement pas de difficulté à obtenir des informations. Comme l’a dit le président, souvent, nous recevons des informations, nous les examinons, et nous réalisons que tel ou tel document fait référence à d’autres informations que nous n’avons pas. Nous devons donc continuellement demander des informations. Bien souvent, nous recevons et demandons des informations à multiples reprises jusqu’à la fin de notre examen.
La sénatrice Dasko : Cela dit, vous essuyez parfois des refus. C’est ce que j’ai compris en vous écoutant. Les ministères résistent ou refusent de vous envoyer des informations.
M. McGuinty : Seulement dans certains cas, sénatrice. Nous ne voulons pas exagérer la chose. Tout se passe généralement très bien. Nous avons bâti une bonne relation.
Dans certains cas — après l’examen des activités de sécurité et de renseignement du ministère de la Défense nationale et des Forces armées canadiennes, par exemple — cela a mené à la création d’un bureau d’examen au sein du ministère afin qu’il puisse commencer à partager des informations ouvertement avec nous à l’avenir, ou avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement — l’OSSNR — ou un autre groupe.
Nous ne voulons pas exagérer la chose. Il y a eu quelques cas où nous tenions mordicus à certaines informations, et nous y travaillons. Nous ne nous attendons pas à faire face à de tels obstacles fréquemment à l’avenir, pour être franc.
Le sénateur Boehm : J’aimerais remercier les témoins d’être ici. Je suis heureux de vous revoir parmi nous, sénatrice Lankin, même si c’est à titre de témoin.
J’ai quelques questions à vous poser. Je crois que je vais toutes les poser d’un coup, étant donné qu’il ne nous reste que quelques minutes. Je ne crois pas que nous aurons vraiment un deuxième tour de questions.
Monsieur McGuinty, vous avez parlé du périmètre de cyberdéfense à quelques reprises. Je pense que la plupart du temps, quand on pense à un périmètre, on s’imagine une clôture. Or, je sais que vous faites référence à quelque chose de nettement plus élastique.
Le Canada dispose de 150 bureaux à l’étranger, que ce soit des ambassades, des consulats, des bureaux dans des ambassades, ou autre. Les provinces disposent également de bureaux à l’étranger. Lorsque vous parlez du périmètre de cyberdéfense, et peut-être, de son maillon le plus faible, il est concevable que le maillon le plus faible puisse se situer loin de nos côtes, et qu’il nous faille donc disposer de la cyberprotection électronique nécessaire pour le protéger. Voilà ma première question. J’aimerais vous entendre à ce sujet.
J’ai une autre question. Je sais que votre comité est un comité d’examen. Ce genre de comité existe dans d’autres parlements du Groupe des cinq. Discutez-vous entre vous des pratiques exemplaires, étant donné que le CPSNR existe depuis un certain nombre d’années? Vous envoyez-vous vos rapports? Vous font-ils part de leurs réflexions, par exemple?
Ma dernière question s’adresse précisément à vous. À titre de parlementaire, vous savez très bien à quel point nous recevons des demandes de réunion des ambassades et de lobbyistes. À titre de président de ce comité d’examen, sentez-vous qu’on vous interpelle personnellement? Si oui, comment réagissez-vous à cela?
M. McGuinty : Je ne suis pas certain de saisir ce que vous voulez dire par là.
Le sénateur Boehm : Je parle de popularité, de parrainage. [Difficultés techniques]
M. McGuinty : Je vais commencer par la dernière question.
Oui, peut-être. Je crois que nous avons tous dû modifier un peu notre comportement dans les réunions et lors d’événements diplomatiques depuis que nous siégeons au sein de ce comité. Je n’ai plus à le faire, de façon générale. Je tends à être très prudent. Je fais preuve d’une grande prudence lorsque je voyage, par exemple. Je crois que la plupart d’entre nous ont été informés des risques à maintes reprises.
En ce qui concerne la transmission d’informations, nos pratiques et les autres groupes, oui, nous communiquons avec le comité de sécurité et de renseignement du Royaume-Uni. Mme Inman était à la tête d’une délégation là-bas en janvier dernier et a participé à une semaine de réunions. Les membres de ce comité sont déjà venus au Canada. Nous espérons aller en Grande-Bretagne un de ces jours. Les Britanniques ont plus d’expérience avec ce type de pratique et d’approche. Ils nous ont beaucoup appris. Nous avons également rencontré nos homologues néo-zélandais, australiens et certains de nos homologues américains. De plus, nombre d’autres nations sont entrées en contact avec nous pour nous demander de leur expliquer notre méthode de travail, dont la Roumanie, Israël et l’Afrique du Sud. Ces pays nous ont demandé de leur faire part de notre savoir et de notre travail, parce qu’ils sont à la recherche de modèles qui pourraient leur convenir. Nous sommes donc en train de trouver notre voie.
Pour en revenir à votre première question, je demanderai à M. Bhatia de vous parler des détails techniques.
Nabil Bhatia, analyste de révision, Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement : Je vous remercie de la question, sénateur Boehm.
Lorsque nous parlons du périmètre de cyberdéfense, nous faisons référence aux trois outils du CST, que nous présentons dans les paragraphes 188 à 202 dans notre rapport. J’ai cru comprendre que vous avez récemment parlé à M. Khoury et M. Couillard du Centre canadien pour la cybersécurité. Ils pourraient vous en parler en toute connaissance de cause.
Le CST utilise trois types de capteurs : des capteurs réseau, des capteurs sur l’hôte et des capteurs infonuagiques. Ces trois capteurs travaillent ensemble au niveau du réseau, au niveau de l’hôte — soit sur des systèmes d’accès terminaux — et au niveau infonuagique et constituent un complément aux mécanismes commerciaux disponibles comme les logiciels antivirus ou les pare-feu. Ils ont deux rôles. Ils servent à la fois à relever les cyberactivités malveillantes et à défendre de façon proactive les réseaux contre les cyberattaques. Les capteurs surveillent constamment les cyberactivités anormales et les analysent afin de relever de nouveaux comportements cybernétiques malveillants. Le CST utilise ensuite ces informations pour atténuer les menaces actuelles et préparer les plans d’intervention pour les menaces futures.
Le sénateur Boehm : Merci beaucoup.
[Français]
Le sénateur Boisvenu : Bienvenue, sénatrice Lankin, monsieur McGuinty et madame Inman. Cela me fait plaisir de vous revoir.
Vous savez que nous menons une étude sur la sécurité en Arctique et ce que j’ai découvert — je ne peux pas parler au nom de mes collègues — est que si ce n’était de la présence américaine au moyen du Commandement de la défense aérospatiale de l’Amérique du Nord (NORAD), le Canada serait en mauvaise posture en matière de sécurité nationale, notamment en ce qui a trait à ce voisin du Nord, la Russie. Les Américains assurent une grande part de la sécurité du Canada.
On a également fait des constats préliminaires, à savoir que les équipements et le personnel des forces armées sont dans un piteux état. On est vraiment en retard quant à la modernisation et l’optimisation des ressources dans les Forces armées canadiennes.
Dans votre rapport de 2022, vous avez parlé de la cyberdéfense du gouvernement. Le vol d’informations dans les opérations militaires pourrait mener au dévoilement de stratégies, et ainsi de suite. C’est un volet important de notre étude.
En ce qui a trait à l’apport au gouvernement pour améliorer cette situation, comment faites-vous pour pallier le manque d’équipement dans les forces armées et la gestion d’un dossier aussi important que les cyberattaques? Il semble y avoir une contradiction entre le manque de ressources et d’équipement et le fait d’avoir à contrer ces cyberattaques. Il faut des ressources et des équipements.
Quelle position défendez-vous auprès du gouvernement en ce qui a trait au décalage énorme entre la situation actuelle des forces armées et la surveillance du monde en matière de cyberattaques?
[Traduction]
La sénatrice Lankin : Tout d’abord, je crois utiliser les bons termes. Le ministère de la Défense nationale surveille sa propre cybersécurité. Il s’agit d’une organisation et d’une culture différentes, avec des obligations divergentes. Leur utilisation de la cybersécurité et de la surveillance se ressent sur le terrain en première ligne, alors la situation est très différente.
En ce qui concerne les ressources, j’ai cru comprendre que votre comité se penche sérieusement sur la question. Nous n’avons pas mené d’examen portant uniquement sur la cybersécurité au sein du ministère de la Défense nationale, et nous l’inclurions dans la recommandation générale, qui propose d’avoir un seul périmètre pour tous et d’utiliser davantage les ressources du CST. Cela dit, vous vouliez connaître les ressources disponibles. Pour vous répondre, il nous faudrait mener un examen du cadre afin d’étudier les aspects administratifs, législatifs, réglementaires et financiers de la question, ce que nous n’avons pas encore fait.
À nouveau, ce sont de bonnes questions. L’une des choses que j’ai dites plus tôt en complément de ce qu’a dit le président — sur nos critères d’examen et notre processus décisionnel — c’est que chaque fois que nous menons un examen, nous réfléchissons à ce sur quoi nous devrions revenir dans un délai approprié, en nous assurant de nous en tenir à un processus d’examen et non pas de surveillance. Nous avons appris des choses au cours des sept dernières années, tout comme le gouvernement et les ministères qui n’avaient jamais eu ce genre d’interactions avec des parlementaires avant. Je crois aussi que nous avons généralement une excellente relation avec eux basée sur la confiance. Certes, il a fallu un peu de temps pour la bâtir, mais le processus de transmission d’informations fonctionne bien.
Cela vaudrait la peine de réfléchir à la façon de mener un examen des activités du ministère de la Défense nationale un de ces jours, que ce soit au sein de votre comité ou du nôtre. Ce serait utile, parce qu’il s’agit de questions importantes. C’est particulièrement vrai pour l’ingérence étrangère et l’Arctique. Cela vaudrait la peine de s’y pencher à l’avenir.
[Français]
Le sénateur Boisvenu : Monsieur McGuinty, vous avez beaucoup parlé d’échanges avec les autres pays, notamment l’Australie et le Royaume-Uni. Vos constats au sujet de nos partenaires vous ont-ils indiqué des pistes intéressantes sur lesquelles le Canada pourrait s’appuyer pour améliorer sa performance en matière de cyberattaques?
M. McGuinty : On obtient régulièrement de la documentation, par exemple, du Royaume-Uni. Son comité est actif depuis des décennies. On partage où et comme on le peut. Évidemment, nous ne sommes pas en mesure de partager l’information confidentielle. Nous apprenons l’un de l’autre. Il existe un partenariat, mais nous sommes différents. La structure du comité de l’Australie n’est pas le même que le nôtre; ce n’est pas du tout la même chose. En Nouvelle-Zélande, on se réunit peut-être deux ou trois fois par année et la présidence est assumée par le premier ministre.
Tout dépend du pays dont on parle. Je crois que les gens sont de plus en plus conscients de cette question du cyberrisque et des cyberattaques. Je sais qu’à l’échelle internationale, les Nations unies sont en train de négocier au moins une et peut-être même deux conventions qui traiteraient de cette question.
[Traduction]
Le président : Si vous voulez bien m’accorder une autre minute, j’ai une brève question à vous poser, en complément de celles que vous avez reçues.
Vous avez dit, monsieur le président, que le CST se livre à des « opérations défensives proactives ». Je crois que c’est le terme que vous avez employé. Cela comprend-il les mesures qui réduiraient la capacité d’un agresseur connu à attaquer nos infrastructures essentielles?
M. McGuinty : Je ne sais pas si vous essayez délibérément d’être difficile ou autre, monsieur le président. Il faudrait que j’essaie de répondre à cette question...
Le président : Je comprends.
M. McGuinty : Il faudrait que j’étudie cet examen un peu plus attentivement pour vous donner une réponse précise.
Le président : D’accord, très bien. Merci.
Voilà qui met fin à la comparution de notre groupe de témoins. J’aimerais vous remercier, monsieur McGuinty, ainsi que vous, sénatrice Lankin, que nous sommes ravis d’avoir parmi nous, madame Inman et monsieur Bhatia. Nous vous sommes très reconnaissants de vos contributions et du temps que vous nous avez accordé pour nous faire part de votre expérience. Nous vous remercions de votre travail au sein du CPSNR. Nous savons que c’est une tâche qui se rajoute à votre travail quotidien et à vos lourdes responsabilités. Nous vous sommes reconnaissants de votre travail, et je vous remercie au nom de notre comité, du Sénat du Canada et des Canadiens. Nous vous souhaitons beaucoup de succès dans vos travaux futurs, qui sont importants. Merci beaucoup.
(La séance se poursuit à huis clos.)