LE COMITÉ SÉNATORIAL PERMANENT DE LA SÉCURITÉ NATIONALE, DE LA DÉFENSE ET DES ANCIENS COMBATTANTS
TÉMOIGNAGES
OTTAWA, le lundi 20 mars 2023
Le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants se réunit aujourd’hui, à 16 heures (HE), avec vidéoconférence, afin d’examiner, pour en faire rapport, les questions concernant la sécurité nationale et la défense en général.
Le sénateur Jean-Guy Dagenais (vice-président) occupe le fauteuil.
[Français]
Le vice-président : Bienvenue à cette réunion du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants. Je suis Jean-Guy Dagenais, sénateur du Québec et vice-président du comité. Malheureusement, notre président, le sénateur Tony Dean, n’a pu se joindre à nous aujourd’hui. J’invite mes collègues à se présenter, en commençant par ma gauche.
Le sénateur Cardozo : Andrew Cardozo, de l’Ontario
[Traduction]
La sénatrice Dasko : Donna Dasko, de l’Ontario.
[Français]
Le sénateur Boisvenu : Pierre-Hugues Boisvenu, de la division de La Salle, au Québec.
[Traduction]
Le sénateur Yussuff : Hassan Yussuff, de l’Ontario.
Le sénateur Boehm : Peter Boehm, de l’Ontario.
[Français]
Le vice-président : Merci, chers collègues. Pour ceux qui nous regardent en direct de partout au Canada, je rappelle que nous nous concentrons aujourd’hui sur les cybermenaces à l’endroit de l’infrastructure de défense du Canada. Nous avons trois groupes de témoins de renom avec nous aujourd’hui. Nous allons commencer immédiatement.
Pour notre premier groupe de témoins, nous avons le plaisir d’accueillir, du Centre de la sécurité des télécommunications, M. Sami Khoury, dirigeant principal, Centre canadien pour la cybersécurité et M. Daniel Couillard, directeur général, Partenariats et atténuation des risques, Centre canadien pour la cybersécurité.
Bienvenue, messieurs, et merci de votre présence parmi nous aujourd’hui. Vous avez été invités à prendre la parole dans le cadre de votre Évaluation des cybermenaces nationales 2023-2024, du Centre canadien pour la cybersécurité.
Nous allons commencer par vous inviter à présenter vos remarques préliminaires, qui seront suivies de questions de la part de nos membres. Monsieur Khoury, vous pouvez commencer quand vous êtes prêt.
Sami Khoury, dirigeant principal, Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications : Merci beaucoup, monsieur le vice-président.
[Traduction]
Bonjour. Je suis le dirigeant principal du Centre canadien pour la cybersécurité, qu’on appelle souvent le « Centre pour la cybersécurité » et qui fait partie du Centre de la sécurité des télécommunications ou CST. Je suis heureux d’être accompagné de mon collègue Daniel Couillard, directeur général des Partenariats et atténuation des risques au Centre pour la cybersécurité.
[Français]
Merci de nous avoir invités aujourd’hui pour discuter de cybersécurité, et particulièrement de notre Évaluation des cybermenaces nationales (ECMN) 2023-2024 parue le 28 octobre 2022. Vous avez peut-être remarqué qu’il est souvent question de cybersécurité dans les nouvelles, mais je suis heureux d’annoncer que notre évaluation demeure aussi pertinente — j’ose même dire « fraîche » — aujourd’hui qu’elle l’était au moment de sa publication, il y a cinq mois. Tout au long de ma déclaration, je désignerai le rapport par son acronyme, ECMN, ou NCTA en anglais.
[Traduction]
J’aimerais commencer par faire un petit survol du Centre pour la cybersécurité du CST, qui est une source unifiée de conseils d’experts, d’avis et de soutien sur des questions opérationnelles de cybersécurité.
[Français]
Le Centre canadien pour la cybersécurité collabore étroitement avec d’autres organismes gouvernementaux, des partenaires de l’industrie et le public dans le but d’améliorer la cybersécurité des Canadiennes et des Canadiens et d’accroître la résilience du Canada face aux cybermenaces.
[Traduction]
Le Centre pour la cybersécurité a recours à des moyens de cyberdéfense de renommée mondiale pour protéger les réseaux gouvernementaux canadiens. Nous défendons les « systèmes d’importance », qui sont spécifiquement désignés par notre ministre, contre les cybercriminelles et cybercriminels malveillants en recourant à des moyens de protection sophistiqués de défense numérique que nous possédons grâce à notre appartenance au CST.
Le Centre pour la cybersécurité soutient la population et les entreprises canadiennes à toute heure du jour et de la nuit en publiant des alertes et des avis de menace, en menant des campagnes de sensibilisation du public à la cybersécurité, comme la campagne Pensez cybersécurité, et même en offrant à la collectivité de la cybersécurité des outils gratuits, comme AssemblyLine, notre outil de détection et d’analyse de maliciels. Nous faisons cela pour que la population canadienne, sans exception, ait accès aux ressources nécessaires pour se sentir en sécurité en ligne. En établissant des partenariats avec des intervenants des quatre coins du pays, que ce soient des établissements gouvernementaux, des fournisseurs de service des infrastructures essentielles ou des membres du milieu universitaire, le Centre pour la cybersécurité travaille d’arrache‑pied pour rehausser la cybersécurité du Canada.
Un des rôles confiés au Centre pour la cybersécurité est de renseigner les Canadiennes et les Canadiens sur la cybersécurité et de les informer des menaces qui pourraient peser sur eux. Pour ce faire, nous suivons l’évolution des cybermenaces qui planent sur le Canada et produisons des évaluations et des rapports à ce sujet. Il s’agit d’analyses non classifiées et accessibles au public sur les menaces qui guettent le Canada dans le cyberespace en évolution constante. D’ailleurs, j’encourage fortement les membres du comité, et les Canadiennes et Canadiens en général, à lire ces évaluations, car elles donnent un aperçu unique des menaces contre lesquelles le Centre pour la cybersécurité nous défend au quotidien.
[Français]
Un de ces rapports, l’ECMN, est publié tous les deux ans et est fondé sur des sources classifiées et non classifiées. L’objectif de l’ECMN est d’informer la population sur les menaces qui, selon nous, sont liées à la numérisation croissante de tous les aspects de nos vies.
[Traduction]
Les conclusions de l’évaluation sont fondées sur des rapports provenant de sources classifiées et non classifiées, dont certaines découlent du mandat de renseignement étranger du CST. Le Centre pour la cybersécurité est tenu de protéger les sources et les méthodes classifiées, mais il s’efforce de fournir autant d’informations que possible au lectorat.
Je vais maintenant expliquer brièvement les principales conclusions de la dernière évaluation des cybermenaces nationales portant sur l’environnement de cybermenace. Nous avons choisi de nous concentrer sur cinq catégories de cybermenaces qui sont, à notre avis, les plus changeantes et les plus lourdes de conséquences, et qui continueront de façonner les activités de cybermenace en 2024.
Premièrement, les rançongiciels constituent une menace omniprésente pour les organisations canadiennes. Nous avons signalé que la cybercriminalité continue d’être l’activité de cybermenace la plus susceptible de toucher les Canadiens et les organisations canadiennes. Comme ils perturbent les capacités de fonctionnement des organisations qu’ils touchent, les rançongiciels sont presque certainement la forme de cybercriminalité la plus perturbatrice à laquelle sont confrontés les Canadiens.
Deuxièmement, les infrastructures essentielles risquent de plus en plus d’être visées par des activités de cybermenace. Cela signifie que les cybercriminels peuvent exploiter les infrastructures essentielles. Les acteurs parrainés par des États ciblent les infrastructures essentielles pour recueillir des renseignements par l’entremise de l’espionnage, afin de se prépositionner en cas d’hostilités futures et comme une forme d’intimidation et de projection de la puissance.
Troisièmement, les activités de cybermenace parrainées par des États touchent les Canadiens. Notamment, les cyberprogrammes parrainés par la Chine, la Russie, l’Iran et la Corée du Nord représentent les plus grandes cybermenaces stratégiques pour le Canada.
Quatrièmement, les auteurs de cybermenace tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels. Au cours des deux dernières années, nous avons observé une hausse du recours à la mésinformation, désinformation et malinformation de la part des auteurs de cybermenace
Enfin, les technologies perturbatrices créent à la fois de nouvelles possibilités et de nouvelles menaces. Les actifs numériques, tels que les cryptomonnaies et la finance décentralisée, sont à la fois des cibles et des outils pour les auteurs de cybermenace. L’apprentissage machine peut être exploité par les auteurs de cybermenace et l’informatique quantique peut menacer nos systèmes actuels de maintien de la confiance et de confidentialité en ligne.
[Français]
Ces tendances sont inquiétantes, mais nous espérons pouvoir aider les Canadiens à rester conscients et informés des menaces potentielles auxquelles ils pourraient être confrontés en ligne. La bonne nouvelle, c’est que l’on peut atténuer la plupart des risques liés à la cybersécurité qui sont cernés dans ce rapport. En fait, la grande majorité des cyberincidents peuvent être évités par de simples mesures de cybersécurité. C’est pourquoi le Centre canadien pour la cybersécurité a publié des avis et des orientations conçus sur mesure pour les cinq catégories de cybermenaces définies dans ce rapport. Ces documents sont complémentaires et présentent des mesures pratiques visant à atténuer les risques liés à chaque catégorie. Le site Web Pensez cybersécurité propose aussi des conseils de cybersécurité simples et efficaces à l’intention de tous les Canadiens.
[Traduction]
Les menaces évoluent au même rythme effréné que la technologie. Le Centre pour la cybersécurité s’efforce de renforcer les capacités de cybersécurité en partenariat avec l’industrie, le milieu universitaire et tous les échelons de gouvernement, et ce, partout au Canada. Même si le Canada compte déjà d’efficaces mesures de défense, notre trousse d’outils pourrait être améliorée pour mieux protéger notre pays contre les menaces en constate et rapide évolution que représentent les cybercriminels et les auteurs de menace parrainés par des États.
Afin de continuer à nous adapter à l’environnement de menace qui évolue sans cesse, de renforcer les défenses et d’aider à mieux protéger le Canada et sa population, nous espérons que le projet de loi C-26, Loi concernant la cybersécurité, qui est actuellement en deuxième lecture à la Chambre des communes, continuera d’aller de l’avant. Cette loi établira un cadre réglementaire pour renforcer la cybersécurité des services et systèmes vitaux à la sécurité nationale et publique, et donnera au gouvernement de nouveaux outils pour intervenir contre les cybermenaces émergentes.
De plus, le gouvernement du Canada renouvelle en ce moment la Stratégie nationale de cybersécurité adoptée en 2018. Le CST et le Centre canadien pour la cybersécurité sont des partenaires importants dans cette stratégie, et nous surveillons en permanence le contexte des cybermenaces, l’évolution des tendances et proposons de nouveaux programmes et idées.
Pour conclure, j’insiste sur le fait que le Canada fait face à un contexte de cybermenace complexe et qui évolue rapidement.
[Français]
Des séances d’information comme celle-ci sont une occasion importante de discuter des risques auxquels nous sommes confrontés et des mesures que nous pouvons prendre pour mieux nous protéger en ligne.
[Traduction]
Le CST et le Centre pour la cybersécurité travaillent sans relâche pour atténuer les menaces et protéger les Canadiennes et Canadiens et leurs intérêts.
Je suis reconnaissant d’avoir eu l’occasion de vous en parler aujourd’hui. Merci.
[Français]
Le vice-président : Merci beaucoup de votre présentation, monsieur Khoury. Avant de poursuivre, j’aimerais souligner la présence du sénateur Richards, qui vient de se joindre à nous.
J’aimerais également demander aux participants présents dans la salle de ne pas se pencher trop près du microphone et de ne pas retirer leur oreillette. Cela permettra d’éviter une rétroaction sonore qui pourrait avoir un impact négatif sur le personnel du comité qui se trouve dans la salle.
MM. Khoury et Couillard sont avec nous pour environ une heure. Afin que chaque membre du comité puisse participer, je limiterai les questions et les réponses à quatre minutes. Je vous prierais de poser des questions succinctes et d’identifier la personne à laquelle vous souhaitez vous adresser.
[Traduction]
Le sénateur Boehm : Merci, monsieur Khoury et monsieur Couillard, pour votre présence et pour l’important travail que vous et vos équipes accomplissez pour le Canada.
Voici ce qu’on peut lire dans l’Évaluation des cybermenaces nationales 2023-2024, du Centre canadien pour la cybersécurité :
Les activités de cybermenace représentent un risque de plus en plus grand pour les infrastructures essentielles.
Les acteurs parrainés par les États ciblent les infrastructures essentielles pour recueillir de l’information à la faveur d’activités d’espionnage, pour se prépositionner en cas d’hostilités futures, et comme une forme de projection de puissance et d’intimidation. Cependant, nous estimons que les auteurs de cybermenaces parrainés par des États s’abstiendront fort probablement de perturber ou de détruire intentionnellement les infrastructures essentielles canadiennes sans qu’il y ait d’hostilités directes.
Nous appuyons l’Ukraine dans la guerre déclenchée par la Russie. Nous ne sommes pas en conflit direct avec la Russie, mais nous fournissons une aide militaire, économique et humanitaire à la défense de l’Ukraine. Au centre, considérez‑vous que nos infrastructures essentielles et de défense sont plus à risque de cybermenaces de la part de la Russie, compte tenu de notre soutien à l’Ukraine, malgré l’absence d’hostilités directes? Existe-t-il un risque accru de cyberattaques contre le Canada par l’Iran — histoire de citer un autre pays — qui est allié de la Russie et qui a subi les critiques de notre gouvernement de même que des Canadiens, particulièrement dans le dossier des droits de la personne?
M. Khoury : Je vous remercie pour cette question, sénateur.
Nous avons porté une attention particulière au conflit entre la Russie et l’Ukraine. Depuis le début de ce conflit, nous avertissons les Canadiens et les entreprises canadiennes de prendre toutes les précautions possibles pour protéger leurs infrastructures contre les cyberattaques, directes ou indirectes. Nous publions continuellement des alertes et des bulletins depuis les premiers jours du conflit — le plus récent remontant à février de cette année — où nous faisons régulièrement part de nos préoccupations. Nous nous préoccupons bien sûr des infrastructures essentielles.
Nous avons beaucoup appris du conflit entre la Russie et l’Ukraine. Nous sommes une organisation qui a également un mandat de renseignement, et nous apprenons beaucoup de ce que nous observons en Ukraine. Nous transmettons ces renseignements très rapidement pour avertir les Canadiens.
Ce n’est un secret pour personne que la Russie est un adversaire sophistiqué qui a fait la preuve de sa capacité à déployer sa cybercapacité de façon particulièrement irresponsable. C’est ce qu’elle fait non seulement en Ukraine, mais aussi contre des infrastructures civiles ailleurs dans le monde, comme celles de Viasat, par exemple. Quand tel est le cas, quand la Russie enfreint les normes cybernétiques, nous la dénonçons, et il est arrivé à plusieurs reprises que le Canada fasse corps avec des alliés pour dénoncer le comportement irresponsable de la Russie.
Le Centre pour la cybersécurité est donc préoccupé et, pour lui, les infrastructures essentielles sont bien sûr une priorité. Il fait tout son possible pour communiquer tout ce qu’il sait et pour prévenir ses collègues des infrastructures essentielles de toute forme de cyberattaque anticipée.
Le sénateur Boehm : Voulez-vous ajouter quelque chose au sujet de l’Iran?
M. Khoury : Dans notre évaluation des cybermenaces nationales, nous avons à l’œil quatre pays que sont la Russie, la Chine, l’Iran et la Corée du Nord. Chacun obéit à des motivations différentes par le biais de ses programmes cybernétiques. Au besoin, nous publierons un bulletin sur les activités iraniennes, et nous l’avons fait l’an dernier conjointement avec les États-Unis pour une mise en garde contre les activités iraniennes. Nous apprenons beaucoup grâce à notre mission de renseignement, puis nous exploitons l’information recueillie pour avertir les Canadiens des activités de ces quatre pays.
Le sénateur Boehm : Merci.
[Français]
Le sénateur Boisvenu : Bienvenue à nos deux témoins. On ne peut passer sous silence un sujet qui est d’actualité au Canada actuellement, soit l’interférence dans le processus électoral par la Chine ou la Russie. Est-ce que votre centre a été amené à partager certaines informations? En fait, est-ce que vous avez une certaine connaissance de ces interférences?
M. Khoury : Je vous remercie de votre question. Effectivement, le centre a été impliqué, et il y a différents angles pour ce qui est de la façon dont le centre s’implique dans ce genre de dossier.
Premièrement, dans le rapport, nous avons documenté publiquement le fait que nous nous soucions de l’ingérence dans le processus électoral au Canada.
Durant les élections, nous travaillons de très près avec Élections Canada pour protéger l’infrastructure électorale et nous assurer qu’elle est bien sécurisée sur le plan de la cybersécurité. Le CST fait partie du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections. Il s’agit d’un comité non partisan de fonctionnaires qui, durant la période électorale, gère les risques qui sont soulevés; il lui incombe de décider si le seuil a été atteint ou non.
Dans notre rôle de cybersécurité, nous protégeons réellement l’infrastructure électronique des élections, mais d’autres partenaires gouvernementaux, à l’intérieur et à l’extérieur du CST, participent également aux travaux de ce comité.
Le sénateur Boisvenu : Cette intervention sécuritaire peut-elle vous amener à faire des interventions directes en matière d’ingérence externe?
M. Khoury : Si nous parlons d’ingérence technologique, si nous voyons quelque chose de préoccupant sur les réseaux, nous travaillons avec Élections Canada pour gérer ces soucis, qu’ils soient d’origine criminelle ou autre. S’il s’agit d’ingérence non électronique, je m’en remets à d’autres ministères qui ont cette responsabilité.
[Traduction]
La sénatrice Dasko : Merci d’être venus à notre rencontre. C’est un sujet très important et très intéressant.
J’ai lu les documents d’information et je suis aussi tombé sur un article du Globe and Mail d’aujourd’hui sur la cybersécurité dans lequel on dit que le gouvernement fédéral fait l’objet de trois à cinq milliards d’actes malveillants chaque jour. Bien sûr, cela dépasse l’entendement. Je me demande si vous pourriez nous en dire un peu plus à ce sujet. Si nous subissions autant d’attaques — et je ne dis pas que le chiffre avancé est faux —, il me semble que nous serions anéantis par de telles attaques. Donnez-nous simplement une idée de ce à quoi cela ressemble.
L’autre question que je veux vous poser découle de vos propos au sujet des acteurs étrangers qui tentent de saper la confiance envers nos institutions démocratiques, ce qui n’a pas manqué de m’inquiéter. J’aimerais beaucoup que vous me donniez des exemples de ce dont on parle au juste. Qu’ont-ils fait pour saper notre confiance dans nos institutions? J’aurai ensuite d’autres questions.
[Français]
Daniel Couillard, directeur général, Partenariats et atténuation des risques, Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications : Bonjour et merci pour votre question. Je vais répondre à la première.
L’une des fonctions du Centre canadien pour la cybersécurité est de protéger le réseau du gouvernement fédéral, en partenariat avec d’autres ministères, comme Services partagés Canada. Dans cet effort, nous avons déployé une infrastructure qui permet de surveiller ce qui se passe sur les réseaux du gouvernement.
[Traduction]
Cette infrastructure que nous déployons sur les réseaux gouvernementaux nous permet de surveiller les activités de notre réseau 24 heures sur 24, 7 jours sur 7, et nous intégrons également une réponse automatique à certaines de ces menaces. Bien sûr, nous parlons de réseaux gouvernementaux à très grande vitesse. Nous traitons d’énormes volumes de données, ce qui explique les chiffres impressionnants que vous avez vus. Toutes les attaques ou actions que nous bloquons ne sont pas nécessairement à haut risque et menées directement contre les réseaux. Certaines de ces activités ne sont que des activités de reconnaissance. Ce sont toutes des activités techniques auxquelles tout réseau est soumis. Bien sûr, en collaboration avec nos alliés, nous disposons d’un grand nombre d’indicateurs de risque, comme l’adresse IP qui peut être celle d’un opérateur malveillant ou être associée à un acteur étatique malveillant. C’est ce genre de tentative de pénétration que nous bloquons. C’est ainsi que nous arrivons à ces nombres impressionnants d’attaques bloquées quotidiennement. Elles sont toutes automatisées et continuent d’être lancées contre nous tous les jours. C’est ce qui explique ces chiffres.
La sénatrice Dasko : Vous leur fermez la porte au nez.
M. Couillard : Exactement.
M. Khoury : Pour ce qui est de la deuxième partie de votre question sur la désinformation, dans notre rapport, je dirais que nous désignons des acteurs comme la Russie et la Chine comme étant actifs sur ce plan. L’an dernier, par exemple, après le début du conflit, la Russie a publié des informations démentant la participation de soldats canadiens ou du Canada au côté de l’Ukraine. Nous savions que tel était le cas et, par conséquent, le CST a pris la mesure inhabituelle de déclassifier les renseignements pour faire valoir son point de vue. Les Russes saturent les ondes à coups de désinformations visant à saper la confiance envers nos institutions, qu’il s’agisse des Forces canadiennes, du gouvernement ou d’autres. Nous devons être vigilants et inviter les Canadiens à se montrer critiques à propos de ce qu’ils lisent, à être conscients des sources d’information. Au besoin, nous déclassifions nos renseignements pour prouver le bien-fondé de notre position.
La sénatrice Dasko : Quelles seraient les sources des exemples que vous avez donnés? Twitter ou les réseaux sociaux? Où cette information est-elle diffusée?
M. Khoury : Je crois que c’était sur Twitter, mais, si vous n’y voyez pas d’inconvénient, il faudrait que je vérifie.
[Français]
Le vice-président : Avant de continuer, je veux souligner la présence de la sénatrice Deacon, qui vient de se joindre à nous.
[Traduction]
Le sénateur Cardozo : J’ai tant de questions, mais pourrait‑on approfondir un peu celle de l’ingérence électorale ou politique? Pourriez-vous nous donner des exemples? Nous sommes au courant de certaines choses grâce aux journaux, mais pourriez-vous nous donner quelques exemples d’interventions de gouvernements ou d’agents étrangers dans notre système électoral et dans notre système politique en général?
M. Khoury : Merci de la question.
Le Centre pour la cybersécurité a pour principal objectif de défendre l’infrastructure d’Élections Canada et l’infrastructure qui est censée étayer l’organisation d’élections. Nous collaborons avec Élections Canada, et notre collaboration commence avant même une élection pour garantir la sécurité du réseau et des systèmes; c’est très important. C’est la responsabilité qui nous incombe dans la surveillance de la cybersécurité de l’infrastructure. Si des cybermenaces pèsent sur ces réseaux, nous serons en mesure de les détecter. Qu’il s’agisse de criminels ou d’États-nations, nous pourrons les repérer sur les réseaux et les neutraliser ou les éliminer.
Quant aux menaces qui ne sont pas liées à la cybersécurité, d’autres organismes gouvernementaux seront mieux à même de répondre à votre question au sujet des autres types de menaces, qu’il s’agisse de la GRC, du SCRS ou d’autres ministères.
Le sénateur Cardozo : Les gens qui font de l’ingérence répandent-ils de la désinformation au sujet du système électoral ou des partis politiques?
M. Khoury : Les deux peuvent se produire. Il pourrait effectivement y avoir de la désinformation au sujet des élections ou des partis politiques.
Pendant la campagne électorale, nous avons communiqué avec tous les partis politiques pour les informer des menaces. Nous avons créé une ligne d’assistance accessible 24 heures sur 24, 7 jours sur 7. Les candidats peuvent appeler s’ils ont des préoccupations en matière de cybersécurité. Nous collaborons avec Élections Canada, comme je l’ai dit, mais nous travaillons aussi avec la Chambre des communes pour y sécuriser l’infrastructure. Notre rôle est de veiller à la cybersécurité de l’infrastructure, mais, s’il y a d’autres préoccupations, il peut y avoir lieu de faire appel à certains de nos partenaires au gouvernement.
Le sénateur Cardozo : Selon vous, combien de ces cybermenaces proviennent du Canada ou de l’Amérique du Nord plutôt que de la Chine ou de la Russie?
M. Khoury : L’origine géographique d’une cybermenace ne vous indique pas nécessairement sa véritable origine, puisque les agents étrangers tentent de brouiller les pistes en donnant l’impression qu’elle vient d’ailleurs. Le Centre pour la cybersécurité a pour responsabilité première de bloquer toutes ces cybermenaces pour que nous puissions les neutraliser, quelle que soit leur origine. L’attribution devient un effet secondaire. Nous aurons réussi lorsque nous aurons assuré la sécurité du système et éliminé toute menace. Notre travail consiste principalement à mettre fin à la menace ou à la neutraliser.
Le sénateur Cardozo : Selon vous, y a-t-il des agents malveillants basés au Canada?
M. Khoury : Il est possible que des agents malveillants tirent parti de l’infrastructure canadienne pour attaquer les systèmes gouvernementaux. C’est possible. C’est probablement à la GRC ou au SCRS qu’il incomberait de trouver qui est au clavier, mais des cyberincidents peuvent se produire Canada ou peuvent sembler provenir du Canada plutôt que de l’étranger.
Le sénateur Yussuff : Merci aux témoins d’être parmi nous aujourd’hui.
Compte tenu de la kyrielle de défis auxquels nous sommes confrontés, il est évident que l’infrastructure gouvernementale et l’infrastructure de défense sont importantes. Il y a aussi ce dont on entend parler tous les jours — des hôpitaux attaqués ou des magasins rançonnés. Est-ce que vous vous occupez également d’alerter les entreprises? Vous avez dit tout à l’heure que certaines des mesures susceptibles d’être prises sont assez simples. Ma question est la suivante : si c’est simple, pourquoi ne le fait-on pas et pourquoi la cybersécurité de tant d’institutions peut-elle encore être compromise? Il me semble, d’après ce que j’ai lu au sujet de ces attaques, que nous n’avons pas encore trouvé de coupables. Pourriez-vous nous éclairer compte tenu de votre expérience et de vos connaissances?
M. Khoury : Merci de votre question.
Nous vivons dans un monde où les réseaux TI sont de plus en plus complexes. Il est probablement très difficile de créer un système à toute épreuve. Il suffit parfois d’une petite vulnérabilité pour porter atteinte à un réseau.
On s’intéresse beaucoup aux cybercriminels qui s’attaquent aux infrastructures essentielles parce que c’est un souci majeur pour la société, qu’il s’agisse d’un hôpital, d’un fournisseur d’énergie, etc. Ils s’en prennent à ces organisations. Comme on le sait, ils n’ont aucun scrupule. Ils sont là pour l’argent. Ils lancent une campagne de rançongiciel pour obtenir autant d’argent qu’ils le peuvent.
Nous avons publié beaucoup d’articles pour inciter ces organisations à améliorer leurs mesures de cybersécurité. Comme vous l’avez dit, il y a des choses simples à faire, comme les mots de passe, les sauvegardes, etc. À la fin de 2021, nous avons lancé une campagne anti-rançongiciels en distribuant une lettre signée par quatre ministres invitant les entreprises à prendre la menace au sérieux. Nous avons également publié un guide pour aider les organisations à se défendre contre les rançongiciels, mais aussi à se remettre d’une attaque par rançongiciel.
Les organisations ont accès à de nombreux moyens de défense. Dans certains cas, elles doivent évidemment investir pour accroître leur capacité de cybersécurité. De nombreuses mesures peuvent être prises pour relever la barre et accroître la résilience afin d’entraver l’action des rançonneurs.
Le sénateur Yussuff : À l’échelle nationale, je suppose que les provinces et les territoires coordonnent leurs modes de gestion de la cybersécurité. Ils ne comptent pas seulement sur vous pour défendre leurs intérêts et veillent à leurs propres intérêts. Quelle est l’ampleur de la collaboration entre vos bureaux et les bureaux provinciaux et territoriaux à l’échelle du pays?
M. Khoury : Merci de votre question.
Nous avons divers niveaux de collaboration avec les différentes provinces. Nous discutons de cybersécurité avec nos homologues provinciaux. Nous échangeons beaucoup d’information. Entre notre COS — le Centre des opérations de sécurité — et les provinces, il y a aussi des échanges de renseignements opérationnels.
Je rappelle que, en cas d’incident, nous en protégeons absolument le caractère confidentiel. Nous ne divulguons rien. Qu’il s’agisse d’un hôpital, d’une municipalité ou d’un conseil scolaire, cela se passe entre nous et la victime. À moins qu’ils décident d’informer d’autres intervenants, nous respectons absolument le caractère privé de la situation et nous nous en tenons strictement à ce dialogue à deux.
Le sénateur Richards : Merci aux témoins de leur présence. Excusez-moi si vous avez répondu en partie à ces questions, mais je suis arrivé en retard.
Dans quelle mesure ces agents malveillants sont-ils complices et collaborent-ils entre eux quand il s’agit de compromettre la souveraineté canadienne? Dans quelle mesure, s’il y a lieu, des États comme la Russie et surtout la Chine ont-ils des connaissances cybernétiques à la mesure des nôtres? Enfin, avons-nous nos propres pare-feu en collaboration avec les États‑Unis et d’autres alliés de l’OTAN? Je suppose que oui.
M. Khoury : Merci beaucoup de la question.
Ces cyberagents sont de plus en plus avertis. Nous constatons que les capacités qui étaient auparavant le propre des États‑nations sont acquises par des organisations criminelles. Les cybercapacités criminelles sont de plus en plus développées. Elles s’échappent de la sphère gouvernementale. Nous constatons également que certains États-nations utilisent des capacités cybercriminelles pour brouiller les pistes et éviter d’être repérés.
Nous connaissons bien ces agents. Nous avons une bonne collaboration avec les États-Unis, évidemment. Notre infrastructure essentielle est connectée dans bien des cas. Nous devons collaborer avec nos alliés du Sud, mais aussi avec nos partenaires internationaux. Il y a un bon niveau de collaboration dans le domaine de la cybersécurité, non seulement au Canada, mais aussi entre le Canada et les États-Unis, entre le Canada, les États-Unis et le Royaume-Uni, avec le Groupe des cinq et avec la communauté internationale.
Le sénateur Richards : Diriez-vous que la Chine a plus de moyens de nous porter des coups que nous en avons de les bloquer en ce moment ou pensez-vous que nous sommes à égalité et que nous sommes aptes à repousser ces attaques?
M. Khoury : Je pense qu’il est difficile de comparer les situations. Au Centre pour la cybersécurité, notre priorité est de les neutraliser toutes, quel que soit leur degré de raffinement.
Le sénateur Richards : Je comprends.
M. Khoury : Qu’il s’agisse de la Chine, de la Russie, de l’Iran ou de la Corée du Nord, nous travaillons sans relâche pour nous assurer de les neutraliser toutes.
Le sénateur Richards : Merci.
La sénatrice M. Deacon : Je vais revenir en arrière. Certains sujets d’actualité sont importants et nous tiennent à cœur, mais je vais revenir en arrière et nous rappeler ce que nous avons ressenti pendant la panne de Rogers l’été dernier. Je fais référence à la question concernant la résilience de notre réseau de télécommunications. Nous avons beaucoup appris. Cela révèle à quel point les pannes prolongées d’Internet perturbent nos vies, du simple inconvénient à de réels problèmes de sécurité susceptibles de se révéler dangereux.
En cet instant précis, que pouvez-vous dire au comité sur ce que cette journée a signifié pour notre réseau de sécurité nationale? Les installations gouvernementales ont-elles également été touchées? Peut-être avez-vous appris quelque chose et que, avec le recul, vous vous êtes dit, par exemple : « On s’en est sorti, mais… » Si vous pouvez m’éclairer, ce serait vraiment bien.
M. Couillard : Merci de la question. Cela a été, en effet, un événement unique.
Je dois dire tout d’abord que nous avons aussitôt communiqué avec Rogers, parce que la question de savoir si cela touchait la cybersécurité préoccupait tout le monde. Le Centre pour la cybersécurité entretient d’excellentes relations avec tous les fournisseurs de services de télécommunications au Canada. C’est bien pratique. Je sais qu’ils se sont immédiatement adressés à M. Khoury. Ils nous ont évidemment tenus au courant. Et ils ont clairement expliqué que ce genre d’incident est toujours évolutif. C’est-à-dire que, au début, on ne sait pas ce qui l’a déclenché, mais on savait que ce n’était pas un incident d’ordre cybernétique. Heureusement pour nous.
Mais, pour revenir à ce que vous disiez, cela nous a effectivement fait comprendre à quel point les infrastructures essentielles et cruciales dépendent les unes des autres. Certaines institutions financières ont bien entendu été touchées. Cela montre aussi que la résilience est une capacité que l’on n’a jamais fini d’améliorer.
Je ne peux pas parler pour Rogers, évidemment. Dans certains endroits, ils ont été proactifs en expliquant que c’était vraiment — pour l’endroit en question — un problème de configuration du réseau. Comment cela a-t-il pu se produire? Cela mériterait effectivement une discussion avec eux.
En fait, cela a incité les divers fournisseurs de services de télécommunications à prendre des mesures parce qu’ils se sont rendu compte qu’ils devaient travailler ensemble et en partenariat avec d’autres entités fédérales. ISDE, c’est-à-dire Innovation, Sciences et Développement économique Canada, a également collaboré avec nous pour faire participer les fournisseurs de services de télécommunications et Rogers, afin de comprendre ce qui s’était passé et d’en tirer des leçons. Nos amis d’ISDE ont organisé une activité permettant à tous les fournisseurs de services de télécommunications de tirer activement des leçons de cet événement et de prendre des mesures — le ministre Champagne a clairement formulé un appel à l’action à l’intention de ces fournisseurs. Cela a été documenté, et c’est ce qu’ils sont en train de faire. Les entreprises ont répondu à l’appel et ont travaillé avec nous. Un nouveau protocole, auquel nous sommes parties, a été élaboré pour passer à l’action. Je rappelle qu’il ne s’agissait pas d’un incident d’ordre cybernétique, mais cela pourrait toucher la cybersécurité un jour ou l’autre. Le Centre pour la cybersécurité a participé à ces discussions et est partie au protocole pour l’avenir.
La sénatrice M. Deacon : Merci.
Ma collègue, la sénatrice Dasko, a posé une question au sujet d’un article paru aujourd’hui dans le Globe and Mail. On peut y lire que, en matière de cybersécurité, nos sociétés d’État, quoique indépendantes du gouvernement, fonctionnent toujours sur le même réseau et donnent ainsi accès indirectement à des renseignements plus confidentiels. On y apprend également que seulement 5 de ces 50 entités fédérales utilisent le Service Internet d’entreprise, qui intègre la technologie du CST pour mieux se protéger. L’article laisse entendre que cela pourrait constituer le ventre mou de la cyberdéfense : qu’en pensez-vous?
M. Khoury : Merci de la question.
Nous vivons dans une société plus connectée que jamais, de sorte qu’il est essentiel de veiller à ce que nos réseaux soient sécurisés. Outre le gouvernement et les principaux ministères, le Centre pour la cybersécurité collabore avec les petits ministères et organismes et avec les sociétés d’État. Nous pouvons fournir un soutien en matière de cybersécurité aux sociétés d’État qui nous le demandent, et c’est déjà arrivé. Il s’agit davantage d’un engagement bilatéral. Le Conseil du Trésor et le CST essaient de regrouper les sociétés d’État, mais entretemps, nous sommes plus qu’heureux de travailler individuellement avec l’une ou l’autre de ces sociétés.
La sénatrice M. Deacon : Merci.
[Français]
Le vice-président : Avant de passer au second tour, je vais me permettre de poser une très courte question. À cause de sa proximité avec les États-Unis, le Canada pourrait-il servir de base informatique pour des cyberattaques visant les Américains?
M. Couillard : Merci de votre question. Évidemment, le Canada et les États-Unis partagent énormément d’infrastructures critiques sur le continent. Nous avons déjà mentionné que le point de provenance d’une attaque n’est pas nécessairement lié à la personne qui mène cette attaque.
[Traduction]
Il est donc possible qu’un agent étranger utilise une infrastructure au Canada pour lancer une attaque contre les États‑Unis. C’est pour cela que nous nouons ces relations avec beaucoup de nos collègues du gouvernement des États-Unis. Nous avons également créé des liens avec des exploitants d’infrastructures essentielles, par exemple dans les secteurs de l’énergie et des télécommunications, qui sont étroitement liés à l’infrastructure américaine. Nous avons également des relations avec des associations du secteur privé pour consolider la résilience avec eux. C’est une priorité fondamentale pour nous en cette période de guerre en Ukraine. Nous avons conseillé à nos exploitants d’infrastructures essentielles de relever proactivement le niveau de conscientisation et de sécurité à l’égard de cette menace et de réfléchir à ces éventualités.
Le sénateur Boehm : Monsieur Khoury, vous avez répondu à la question de diverses façons. Quand ils pensent à ce genre d’ingérence, la plupart des Canadiens pensent à des agents étatiques malveillants. Comme vous l’avez dit, les agents étatiques camouflent leurs actions et redirigent peut-être les projecteurs vers des agents voyous. Ces derniers, à leur tour, peuvent prétendre qu’ils sont des agents étatiques. Dans tout cela, je suppose que vous devez trouver le moyen de savoir qui fait quoi. Avez-vous l’impression que les agents voyous — susceptibles d’agir ou non au nom d’agents étatiques — sont en train de multiplier leurs activités? Y a-t-il des vulnérabilités connexes au Canada, notamment dans notre secteur de la défense, à cet égard?
M. Khoury : Merci de la question.
Disons qu’il y a trois camps. Il y a celui des cybercriminels à proprement parler, celui des États-nations et celui des agents voyous alignés sur un État, c’est-à-dire des organisations criminelles alignées sur un État. Le Centre pour la cybersécurité doit défendre le Canada contre tous ces agents. Qu’il s’agisse d’un cybercriminel motivé par l’argent, d’un État-nation faisant de l’espionnage politique ou industriel ou d’un agent voyou animé par une idéologie, nous devons nous défendre contre les trois, voire plus. L’objectif du Centre pour la cybersécurité est d’informer les Canadiens et les entreprises canadiennes de la menace et d’adapter nos publications en fonction des divers types d’agents à l’œuvre.
Le sénateur Boehm : Est-ce que vous informez nos alliés les plus proches en leur signalant un nouvel agent ou en leur demandant si tel autre leur est connu? Et font-ils la même chose avec nous?
M. Khoury : Nous travaillons en étroite collaboration avec nos alliés — les États-Unis, le Royaume-Uni et nos partenaires internationaux. Nos partenariats les plus étroits sont avec les États-Unis, le Royaume-Uni et les membres du Groupe des cinq. Les cinq partagent beaucoup de renseignement et de données sur la cyberdéfense. En matière de cyberdéfense, nous diffusons le plus d’information possible pour le bien de la collectivité et pour le bien des Canadiens.
Le sénateur Boehm : Merci.
[Français]
Le sénateur Boisvenu : Vous savez que ce comité mène une étude sur la sécurité dans l’Arctique. Le Canada s’apprête à investir massivement dans la protection de l’Arctique, surtout sur le plan technologique.
Vos liens avec les Américains sont-ils constants? Est-ce que l’échange d’information vous permettra, comme entité autonome — même si vous avez des liens avec les Américains —, d’avoir une bonne vision de ce qui va se passer dans l’Arctique après l’épisode de modernisation et de présence accrue de technologies qui sont beaucoup plus à risque que ce que nous avons aujourd’hui?
M. Khoury : Merci pour la question.
Effectivement, dans tous les projets technologiques du gouvernement, nous essayons d’amener le volet de la cybersécurité pour soutenir ces développements et les rendre les plus sécuritaires possibles. Nous participons aussi à des forums publics avec le secteur privé pour inviter les entreprises à investir dans la cybersécurité. Nous tentons de nous assurer que la cybersécurité est incluse dans la définition du problème et que ce n’est pas quelque chose qui est ajouté à la dernière minute. Comment nous assurons-nous que la cybersécurité est intégrée dans le développement d’un projet pour ne pas le regretter plus tard? Dans cette optique, nous espérons que tous les projets d’investissement dans le Nord ou dans les communautés autochtones, notamment, seront des projets qui auront une bonne fondation sur le plan de la cybersécurité.
Le sénateur Boisvenu : Merci.
[Traduction]
La sénatrice Dasko : J’aimerais poursuivre la conversation sur les actions visant à détériorer nos institutions démocratiques par la désinformation. Vous avez donné un exemple. Pourriez-vous nous parler d’autres incidents et de leur contexte?
Je voudrais aussi vous demander ceci : que faites-vous de cette information? Faites-vous une analyse des risques? Par exemple, informez-vous les ministères? Prenez-vous des mesures pour réagir à la désinformation en fournissant de l’information exacte? Comment traitez-vous l’information? Où va-t-elle et qu’en advient-il du point de vue des mesures susceptibles d’être prises?
M. Khoury : Je vous remercie de votre question, sénatrice.
Le Centre pour la cybersécurité se préoccupe évidemment de la cybersécurité et de la protection de l’information canadienne, de l’information gouvernementale et de la vie privée des Canadiens. Nous collaborons avec d’autres partenaires, au CST et à la Défense, et avec d’autres organismes ou ministères du gouvernement.
Nous ne sommes pas un organisme de réglementation et nous ne sommes donc pas chargés de réglementer le contenu d’information dans le cyberespace, mais le CST et d’autres ministères ont pris des mesures parfois rares pour déclassifier le renseignement afin de prouver que l’information diffusée n’était pas exacte. Le Centre pour la cybersécurité veut s’assurer que l’infrastructure du gouvernement canadien ou d’autres ne sevent pas à des fins malveillantes ou à la promotion de ce genre de désinformation. Nous avons publié des conseils et des recommandations à l’intention des Canadiens. Nous avons publié des conseils et des recommandations pour les applications des réseaux sociaux. Nous informons les Canadiens de la menace que certains de ces espaces, notamment les applications des réseaux sociaux, peuvent représenter pour leur vie privée et leur sécurité. C’est cela, la contribution du Centre pour la cybersécurité.
La sénatrice Dasko : Les mises en garde que vous adressez aux Canadiens sont de haut niveau.
M. Khoury : Oui.
La sénatrice Dasko : Où vont certains renseignements précis? Quand vous recueillez des renseignements portant sur des cas précis, dans le cadre d’élections, mais surtout, je dirais, au sujet de la désinformation diffusée en dehors des élections, où vont les renseignements que vous recueillez?
M. Khoury : Nous ne recueillons que les renseignements techniques qui prouvent ou indiquent un cyberincident malveillant. Les autres types de renseignements sont recueillis par d’autres ministères. Il faudrait probablement s’adresser à eux pour réunir le contenu de cette information et peut-être répondre à cette question.
La sénatrice Dasko : Je vois. Cela incomberait à d’autres ministères.
M. Khoury : Oui.
Le sénateur Cardozo : Je voudrais revenir à la situation au pays. Au cours des dernières décennies, les forces de sécurité ont considéré que le terrorisme venait de l’extérieur. Dans les dernières années, elles ont commencé à comprendre qu’il y avait aussi des forces de ce genre au Canada, la suprématie blanche étant probablement en tête de liste. Avez-vous l’impression que ces forces sont actives dans le cyberespace? Est-ce que vous surveillez des groupes au Canada qui pourraient être la source de cybermenaces?
M. Khoury : Merci de la question.
Pour y répondre directement, non, nous ne surveillons pas de groupes. Le Centre pour la cybersécurité s’occupe principalement de l’infrastructure et veille à ce qu’elle soit protégée contre les cyberattaques. D’autres ministères sont chargés de surveiller les activités de groupes. Si le cyberincident a son origine à l’extérieur du Canada, nous pouvons parfois le classer parmi les incidents attribuables à des cybercriminels ou à des États-nations. Si ce sont des États-nations qui sont à l’origine de l’incident et s’ils franchissent les limites des normes cybernétiques, le gouvernement peut décider de les dénoncer, mais nous ne cherchons pas à déterminer qui se trouve au clavier à l’échelle nationale.
Le sénateur Cardozo : Vous vous concentrez d’abord sur le matériel informatique?
M. Khoury : Oui.
Le sénateur Cardozo : Mais vous voulez également savoir d’où vient l’argent, n’est-ce pas?
M. Khoury : Notre première préoccupation est la sécurité de l’infrastructure, c’est-à-dire le réseau et le matériel informatique, mais les activités cybernétiques malveillantes peuvent venir de n’importe où. Dans certains cas, nous savons que la Russie, la Chine, l’Iran et la Corée du Nord sont responsables de certaines de ces activités cybernétiques, et chacune d’elles a une signature différente qui nous permet de savoir qu’il s’agit en fait d’une attaque russe ou chinoise classique. C’est ainsi que nous apprenons comment mieux défendre les systèmes gouvernementaux et comment partager cette information avec nos partenaires pour nous assurer de garder de l’avance sur la menace.
Le sénateur Yussuff : J’ai une question très tendancieuse à vous poser directement : compte tenu de votre responsabilité, comment, d’après vous, nous en tirons-nous généralement en matière de cybersécurité? C’est évidemment une question d’actualité pour les Canadiens en raison de l’enjeu de l’ingérence électorale.
M. Couillard : Merci de la question.
C’est une question à laquelle il est difficile de répondre. Comment nous en tirons-nous? Notre objectif est de protéger le gouvernement canadien, l’infrastructure canadienne et le Canada dans son ensemble. C’est ce sur quoi nous nous concentrons. Il me serait difficile de nous comparer à un autre pays ou à une autre institution.
Nous avons un groupe de personnes qui se consacrent à cette tâche. Nous travaillons en collaboration avec nos collègues du gouvernement fédéral et des provinces et avec nos partenaires internationaux; c’est notre engagement. Nous investissons temps et efforts pour rester en phase avec la menace. À mesure que celle-ci évolue, nous évoluons aussi et nous sommes déterminés à la bloquer et à poursuivre notre mission.
Je pense que nous faisons du bon travail, évidemment. Nous donnons et nous continuerons de donner de bons résultats aux contribuables canadiens. Il serait difficile pour moi de vous dire où nous nous situons par rapport à d’autres.
M. Khoury : Si vous me permettez d’ajouter quelques commentaires, nous avons progressivement développé ce que je crois être des capacités de cyberdéfense de calibre mondial qui protègent le gouvernement canadien. Ces capacités font l’envie de beaucoup de nos partenaires. Ils se tournent vers nous pour savoir comment nous protégeons les ministères grâce à ces capacités. Du point de vue du gouvernement du Canada, je suis extrêmement fier du travail du Centre pour la cybersécurité. Tout ce que nous apprenons au sein du gouvernement et tout ce que nous apprenons de ces 5 milliards d’incidents que nous constatons tous les jours est partagé avec les responsables des infrastructures essentielles et avec les petites et moyennes entreprises pour que ces connaissances soient diffusées et permettent d’accroître la cyberrésilience collective. Il est certain que nous avons encore du travail à faire, puisqu’il se produit des cyberincidents presque tous les jours, mais nous sommes déterminés à aider les Canadiens et les entreprises canadiennes, dans toute la mesure du possible, à renforcer leur cybersécurité collective.
Le sénateur Yussuff : J’aurais une brève question à vous poser. Les Canadiens tiennent Internet pour acquis, comme faire de la bicyclette ou boire un verre d’eau, mais ce n’est pas si innocent à cet égard. Quel niveau de confiance devons-nous accorder aux Canadiens quant à la façon dont nous pouvons mieux composer collectivement avec la réalité? Ce n’est plus aussi simple que ce que nous aimerions croire, n’est-ce pas?
M. Khoury : Nous avons publié beaucoup de conseils sur la façon de mieux se protéger sur notre site Web, et les Canadiens devraient prêter attention à certains de ces conseils, par exemple de meilleurs mots de passe, l’authentification multifactorielle et les correctifs. Toutes ces mesures feront de nous une société plus sûre. Ces conseils sont publiés, et j’invite tout le monde à consulter notre site Web.
[Français]
Le vice-président : Cela nous amène à la fin de notre premier groupe. Messieurs Khoury et Couillard, je vous remercie de votre contribution et du temps que vous avez pris pour partager avec nous votre expertise en matière de cybercriminalité. Nous l’apprécions grandement.
Nous passons maintenant à notre deuxième groupe de témoins. Pour ceux qui nous rejoignent en direct, cette réunion porte sur les cybermenaces à l’endroit de l’infrastructure de la défense du Canada. Pour ce deuxième groupe de témoins, nous avons le plaisir d’accueillir Mme Kristen Csenkey, associée, Réseau sur la défense et la sécurité nord-américaines et arctiques, et candidate au doctorat, Balsillie School of International Affairs; M. Alex Wilner, professeur agrégé en matière d’affaires internationales à la Norman Paterson School of International Affairs de l’Université Carleton; enfin, par vidéoconférence, nous accueillons M. Christian Leuprecht, professeur au Département de science politique et d’économique du Collège militaire royal du Canada.
Je vous remercie de vous être joints à nous aujourd’hui. Nous allons commencer par vous demander de présenter vos remarques préliminaires, qui seront suivies de questions de la part des membres du comité. Je vous rappelle que vous disposez chacun de cinq minutes pour vos déclarations préliminaires. Madame Csenkey, vous avez la parole.
[Traduction]
Kristen Csenkey, associée, Réseau de défense et de sécurité de l’Amérique du Nord et de l’Arctique, candidate au doctorat, Balsillie School of International Affairs, à titre personnel : Je salue le président, le vice-président, les membres du comité et les autres experts convoqués à cette réunion. Je vous remercie de m’avoir invitée à prendre la parole devant vous et je suis honorée de participer à cette importante discussion sur les cybermenaces visant l’infrastructure de défense du Canada.
Je suis doctorante à la Balsillie School of International Affairs de l’Université Wilfrid Laurier et membre du Réseau de défense et de sécurité de l’Amérique du Nord et de l’Arctique. Mes observations s’appuient sur mes recherches concernant la cybergouvernance et la gestion des technologies émergentes. Mes recherches et mes publications antérieures m’ont permis de circonscrire ma perspective sur le sujet de discussion du comité.
Mes observations sur les cybermenaces visant l’infrastructure de défense du Canada s’articulent autour de deux thèmes : la complexité et l’interopérabilité. Je vais lier les deux en utilisant l’image conceptuelle d’une chaîne pour réfléchir aux menaces et aux solutions. Ces thèmes éclairent les enjeux auxquels le Canada est confronté aujourd’hui, et j’espère que cela vous aidera dans votre examen de la question.
Pour commencer, quand on parle d’infrastructure, qu’il s’agisse de défense, de services essentiels ou de services civils, on parle de systèmes cyberphysiques complexes. Ces infrastructures comprennent généralement des technologies, des appareils, des logiciels, du matériel et de l’information différents, mais aussi des services, des personnes et d’autres éléments connectés qui nécessitent des sources d’énergie et des emplacements physiques. Les éléments des systèmes cyberphysiques ressemblent aux maillons d’une chaîne. Ils ont chacun leur place, mais ils sont aussi attachés à d’autres maillons. Les maillons peuvent être reliés de bien des façons et former de plus grandes structures. La complexité tient au fait que ces interconnexions composent de grandes infrastructures et rendent la tâche difficile, surtout du point de vue de la défense.
Les infrastructures de défense sont complexes, et leurs connexions, ou leurs maillons, ne relèvent pas d’un seul domaine, mais engagent aussi des enjeux sectoriels, par exemple celui de la défense de l’informatique en nuage pour le commandement et le contrôle distribués. Ces systèmes facilitent une communication et une coordination efficaces dans un environnement opérationnel, mais ils nécessitent plus que des cybersystèmes sécurisés pour être fonctionnels. Entre autres exigences, ils ont besoin d’une source d’énergie fiable et sûre qui puisse fonctionner dans des lieux aussi divers qu’extrêmes, comme un microréseau portatif à haut rendement. Ce genre d’infrastructure n’est pas propre à la défense, puisque ces technologies peuvent être employées dans d’autres contextes et à d’autres fins. Par ailleurs, chacun de ces éléments pourrait devoir être relié à des technologies et systèmes plus anciens ou hérités encore utilisés aujourd’hui. L’interopérabilité de ces nouveaux systèmes et technologies est un problème non seulement du point de vue fonctionnel, mais aussi parce qu’elle permet aux agents malveillants de cybermenaces de perturber des systèmes reliant de multiples infrastructures.
Compte tenu des enjeux liés à la complexité et à l’interopérabilité, comment le Canada peut-il se protéger contre les cybermenaces visant les infrastructures de défense? L’interconnectivité des systèmes, des technologies, des personnes, etc., est notre réalité actuelle, puisque les services et les interactions sont de plus en plus numérisés et interdépendants. Cela soulève également des questions nouvelles en matière de capacité de défense, surtout du côté de la protection contre les menaces visant les maillons individuels de la chaîne métaphorique. La chaîne doit être à la fois souple et solide. Elle doit pouvoir s’adapter à l’évolution du contexte et permettre des articulations. La résilience pourrait ainsi passer par la consolidation des maillons grâce à la coopération dans le cadre de partenariats de confiance. Dans le cas de l’informatique en nuage, la coopération par la normalisation peut assurer l’intégration en réseau sécurisé des technologies connectées que partagent des partenaires et des secteurs. Cette solution revient à transformer chaque maillon de l’infrastructure complexe de défense en une cotte de mailles solide, améliorant ainsi la capacité du Canada à rester fort et en sûreté.
Je vous remercie du temps que vous m’avez accordé et je me ferai un plaisir de répondre à vos questions.
[Français]
Le vice-président : Merci beaucoup, madame Csenkey. Maintenant, nous allons entendre M. Wilner. Monsieur Wilner, vous pouvez commencer.
[Traduction]
Alex Wilner, professeur agrégé des affaires internationales, Norman Paterson School of International Affairs, Université Carleton, à titre personnel : Honorables sénateurs, chers collègues et amis, mon exposé préliminaire portera sur deux thèmes généraux. J’aimerais d’abord vous parler brièvement des enjeux cybernétiques contemporains en évoquant l’utilisation autoritaire du cyberespace et le conflit en Ukraine. J’aborderai ensuite rapidement deux éléments de la cyberdissuasion canadienne, surtout à partir de ma recherche, qui est financée par le CRSH, le MDN et le gouvernement de l’Ontario.
La cybersécurité est l’enjeu décisif de notre époque. La plupart des organismes de sécurité nationale et de renseignement placent la cybersécurité bien au-dessus des autres préoccupations, y compris le terrorisme transnational. De fait, le sens du préfixe « cyber » s’est récemment élargi. Pour mieux comprendre la cybernétique aujourd’hui, il faut inclure les êtres humains et leurs sociétés, les machines, les ordinateurs et les réseaux, ainsi que les espaces numériques et les idées partagées dans ces espaces. On constate que plusieurs tendances émergentes donnent forme à la cybersécurité contemporaine et, par extension, éclairent l’avenir des conflits.
Premièrement, les données de sources ouvertes sur les cyberincidents attribuables à des États révèlent que, depuis 2005, plus de 30 pays ont lancé des cyberopérations offensives, mais que la Chine, la Russie, l’Iran et la Corée du Nord sont responsables de plus de 75 % de ces incidents. Le cyberespace est peut-être ouvert à tout le monde, mais son utilisation malveillante est réservée à quelques-uns.
Deuxièmement, les régimes autoritaires ont leurs préférences en matière de cyberattaque. La Russie utilise largement la cybernétique pour semer de la désinformation dans l’espoir de façonner les comportements et les croyances à l’étranger. Elle fait la même chose chez elle pour écarter les problèmes politiques. De son côté, la Chine préfère utiliser la cybernétique pour faire de l’espionnage, voler des données et recueillir du renseignement. Enfin, la Corée du Nord, petit joueur dans le domaine, passe par la cyberagression pour augmenter les recettes de l’État par le vol financier, le rançongiciel et d’autres formes d’extorsion. Les États démocratiques affichent eux aussi, bien sûr, des modèles de cybercomportement. Par exemple, près de 30 % des cyberopérations américaines connues concernent leurs alliés, ce qui devrait nous interpeller.
La guerre d’agression de la Russie contre l’Ukraine révèle une troisième série de tendances. À mon avis, c’est la première véritable guerre moderne, qui oppose deux sociétés de haute technologie. Quatre leçons ressortent.
Premièrement, la guerre a modifié les préférences cybernétiques de la Russie. Avant la guerre, moins du quart des cyberattaques de la Russie auraient pu être considérées comme ayant des visées destructrices, alors qu’aujourd’hui, plus des deux tiers le sont.
Deuxièmement, malgré cela, les capacités cybernétiques vantées par la Russie sont en grande partie en échec. Depuis une décennie, les observateurs de l’OTAN nous avertissent de l’éventualité d’un Pearl Harbor cybernétique. Quelque chose de cet ordre semblait presque imminent dans les semaines qui ont précédé l’invasion de l’Ukraine par la Russie, mais, comme on le sait, cela ne s’est pas produit. Au début de la guerre, la campagne cybernétique de la Russie était loin d’avoir atteint son but. Les préparatifs de l’Ukraine à cet égard, après une décennie de collaboration avec les États-Unis, le Canada et de nombreux autres pays, ont contribué à l’empêcher. L’hiver dernier, la Russie a encore une fois échoué à mettre hors service les systèmes énergétiques de l’Ukraine, ce qu’elle avait pu faire à maintes reprises et assez facilement dans le passé. Au lieu de cela, depuis octobre 2022, la Russie a eu recours à la destruction physique massive plutôt qu’à la cyberperturbation des infrastructures énergétiques ukrainiennes.
Troisièmement, le conflit a amené des secteurs commerciaux entiers, généralement peu familiers de la guerre, sur la ligne de front du combat. Des entreprises technologiques comme Microsoft ont aidé l’Ukraine à se prémunir contre le piratage informatique en lui fournissant des services de sécurité et des solutions techniques et en identifiant, en attribuant et en suivant ouvertement les attaques russes. À un moment donné, Microsoft a ouvert une ligne d’assistance en cybersécurité 24 heures sur 24, sept jours sur sept, pour débarrasser l’Ukraine des maliciels russes sur ses réseaux. D’autres entreprises, comme Starlink, une constellation Internet par satellite exploitée par SpaceX, sont devenues un élément essentiel de l’effort de guerre de l’Ukraine. Starlink Internet s’est révélé difficile à cibler, à pirater et à perturber. Cette capacité a renforcé les opérations et le ciblage en Ukraine. Elle a assuré la connectivité à large bande entre les troupes et les décideurs et a permis à l’Ukraine d’innover dans la guerre des drones, grâce à un jumelage des logiciels locaux et des drones récréatifs à l’Internet par satellite. Cette dernière innovation a irrité SpaceX, qui a limité certains services au‑dessus de l’Ukraine le mois dernier, nous donnant à tous une dure leçon sur le lien émergent entre les services Internet commerciaux, la gouvernance et la guerre.
Le conflit illustre clairement que la cyberguerre va désormais de l’appareil que vous avez en main au satellite qui lui fournit une connectivité en passant par les applications qui alimentent les opérations, les drones qui fournissent du renseignement en temps réel, les campagnes GoFundMe qui permettent de financer l’acquisition de matériel militaire, les idées, et les collectivités qui célèbrent chaque succès ukrainien.
Il faut, bien sûr, prendre ces résultats avec un grain de sel. J’utilise de l’information imparfaite et de source ouverte pour évaluer le monde trouble de la cybercriminalité, dans lequel les subterfuges et les supercheries sont souvent la règle.
Face à ces nouvelles tendances, voyons brièvement ce qu’il en est de la cyberdissuasion. En théorie, la dissuasion suppose l’absence de conflit ouvert, mais, dans la pratique, elle repose à la fois sur des menaces, comme l’incitation aux représailles, sur l’entrave à la défense et le déni, et sur le coût de la délégitimisation de la réputation.
En matière de cyberdissuasion, deux éléments entrent notamment en ligne de compte au Canada. Premièrement, la cyberdissuasion reposera sur une application pangouvernementale. Il ne s’agit pas exclusivement de strict pouvoir coercitif, et nos mesures punitives ne doivent pas viser uniquement le cyberespace. La cyberdissuasion devrait plutôt s’appuyer sur un éventail de capacités susceptibles de nuire aux adversaires dans le cyberespace et dans l’espace physique. À l’occasion, le MDN et le CST seront appelés à intervenir, et le Canada doit donc s’assurer que les deux en ont la capacité technique. En outre, la GRC et le ministère de la Justice ont également un rôle à jouer dans les poursuites, Affaires mondiales dans les sanctions économiques et Services partagés dans la protection contre les attaques visant les services. La cyberdissuasion doit également être communiquée habilement. Je ne pense pas que le Canada ait une position de dissuasion, et cela n’a jamais été le cas. Ma deuxième recommandation serait, en fait, que le Canada réfléchisse à la cyberdissuasion, mais aussi à la meilleure façon de la communiquer.
Merci.
[Français]
Le vice-président : Merci beaucoup de votre présentation, monsieur Wilner. Nous allons maintenant céder la parole à M. Christian Leuprecht.
Christian Leuprecht, professeur, Département de science politique et d’économique, Collège militaire royal du Canada, à titre personnel : Merci pour l’invitation, monsieur le vice-président. Je vais m’exprimer en anglais, mais n’hésitez pas à me poser des questions dans les deux langues officielles. Mon intervention est un bon prolongement aux propos que vous venez d’entendre.
[Traduction]
Le Belfer Center Cyber Power Index de l’Université Harvard classe le Canada au huitième rang des cyberpuissances mondiales. L’Index des cyberpuissances décrit le Canada comme une puissance à faible capacité et à forte intention, dotée de forces notables en matière de cyberdéfense, d’initiatives d’élaboration de normes cybernétiques et de surveillance. En revanche, l’intention et la capacité du Canada de mener des cyberopérations de renseignement étranger et des cyberopérations offensives le placent au milieu du peloton de tête de l’Index, devançant la Russie, la Chine, les partenaires du Groupe des cinq, les Pays-Bas, Israël, etc. D’une part, l’évaluation du Canada traduit deux décennies d’initiatives canadiennes en matière de cybersécurité et, d’autre part, le classement montre que le Canada a un cyberdéficit stratégique.
Pendant 20 ans, la cyberdiplomatie n’a pas réussi à dégager de large consensus sur les normes internationales visant à limiter les comportements malveillants des agents étatiques et des agents tolérés par les États dans le cyberespace. Pour décourager et limiter les mauvais comportements, les États occidentaux doivent s’engager et utiliser des cybermesures actives et offensives. C’est ce que la doctrine américaine de l’engagement durable permet depuis 2018. Cependant, aucun allié des États‑Unis n’a de ressources et de capacités ayant une commune mesure avec celles des Américains.
En 2019, l’adoption du projet de loi C-59 a permis d’élargir le rôle et l’impact que le Canada pourrait avoir dans le cyberespace en autorisant le CST à mener des cyberopérations offensives. L’ajout de ces capacités au mandat du CST a été salué comme une étape importante dans l’harmonisation des autorités canadiennes en matière de cyberopérations avec leurs alliés du Groupe des cinq. En théorie, la combinaison du renseignement étranger, des cyberopérations actives et des cyberopérations défensives couvre l’éventail complet des opérations de cyberespionnage, de sabotage et de subversion. Le Canada a maintenant la capacité nécessaire, mais il n’a pas la volonté politique d’assumer un leadership international indépendant pour réduire l’instabilité et l’incertitude dans le cyberespace.
Je propose une doctrine cybernétique d’engagement fonctionnel pour consolider les normes tacitement acceptées. L’utilisation régulière de cybercapacités est la façon la plus efficace pour le Canada de réduire l’incertitude dans le cyberespace et de limiter les menaces visant ses intérêts nationaux. Compte tenu de nos ressources restreintes et de nos ambitions limitées en matière de politique étrangère, l’engagement fonctionnel supposerait que le Canada utilise toute la gamme de ses cybercapacités pour établir et consolider une série limitée de centres névralgiques clairement définis et communiqués, afin de décourager et de limiter les comportements inacceptables dans le cyberespace.
Au lieu d’utiliser continuellement et à l’échelle mondiale des cybercapacités pour modifier l’équilibre global des pouvoirs dans le système international, l’engagement fonctionnel demande au Canada d’employer ses cybercapacités de manière plus étroite, dans des cas précis, lorsqu’un cyberacteur malveillant mène une activité antithétique aux points focaux du Canada. Ces points focaux de comportements inacceptables pourraient inclure des activités malveillantes qui portent directement atteinte à la souveraineté du Canada et à la sécurité des personnes, qui dégradent ou subvertissent le droit international et l’intégrité des institutions internationales, électorales ou démocratiques, et qui sapent la sécurité économique, la compétitivité et la prospérité du Canada. La cyberdoctrine d’engagement fonctionnel proposée vise à façonner le comportement contradictoire de manière cumulative en renforçant les normes cybernétiques tacitement acceptées dans le cadre des ressources limitées et du caractère unique du leadership historique du Canada sur les créneaux de la politique étrangère en tant que puissance moyenne traditionnelle.
[Français]
Je vous remercie.
Le vice-président : Merci beaucoup, monsieur Leuprecht. Nous allons maintenant passer aux questions. Je rappelle aux membres du comité que nous avons jusqu’à 18 h 10 pour ce groupe de témoins. Chaque question, y compris les réponses, sera donc limitée à quatre minutes. Nous vous demandons d’être brefs et d’identifier la personne à laquelle vous voulez adresser votre question. Nous allons commencer avec le sénateur Boisvenu.
Le sénateur Boisvenu : Bienvenue à nos invités et merci pour vos témoignages très enrichissants.
Ma question s’adresse à M. Leuprecht. Ce que vous faites comme description du Canada en matière de cybersécurité est inquiétant.
J’aimerais avoir votre point de vue sur la stratégie que le Canada devrait employer immédiatement en vue du redéploiement qui va se faire dans le Nord du Canada, dans l’Arctique, dans le but d’être au même niveau technologique que les Américains. Nous arrivons d’une visite du NORAD, à Colorado Springs, qui nous a montré à quel point le Canada était décalé à l’extérieur de cette entente conclue pour l’Amérique du Nord. Cela nous donne une idée du décalage que nous avons sur le plan de la gestion de la cybersécurité.
Quel serait votre point de vue sur une harmonisation entre la stratégie en matière de cybersécurité et les investissements massifs qui doivent être faits dans l’Arctique?
M. Leuprecht : C’est une question intéressante. Je vais vous faire parvenir mon dernier livre, Polar Cousins : Comparing Antarctic and Arctic Geostrategic Futures, qui parle en détail des activités menaçantes menées par la Russie et la Chine dans les deux régions polaires.
Comme vous l’avez identifié, il faut une combinaison des approches de cybersécurité et des approches cinétiques, car les menaces qui existent dans l’Arctique et l’Antarctique et l’instabilité qui s’ensuivra auront des conséquences très importantes pour toute la stabilité globale. Donc, le fait de ne pas porter attention à l’Arctique et de ne pas investir dans cette région aurait des conséquences très importantes pour les intérêts du Canada ailleurs dans le système global.
Il y a donc des manques par rapport au déficit stratégique du Canada dans les domaines de la cinétique et de la cybersécurité. Comme vous l’avez bien dit, le récent pacte de sécurité AUKUS n’est pas seulement une alliance ayant trait aux sous-marins à propulsion nucléaire; c’est aussi une alliance technologique conclue entre nos plus proches partenaires. Le Canada a choisi de ne pas faire partie de la plus importante alliance d’échange de technologies avancées au monde. Quant à la Défense nationale, elle a imposé des contraintes et de la dissuasion aux États hostiles.
Le sénateur Boisvenu : Est-ce le Canada qui a décidé de ne pas participer, ou est-ce qu’il n’a pas été invité à participer?
M. Leuprecht : Je dirais que c’est une route dans les deux sens, mais le non-investissement du Canada dans les domaines de la sécurité nationale, du renseignement et de la défense se poursuit depuis plusieurs années. Par conséquent, le Canada est de plus en plus exclu des conversations, dialogues et partenariats de nos plus proches alliés. Le Canada se trouve de plus en plus marginalisé et c’est problématique, parce que ces partenaires représentent une très importante plus-value pour nos intérêts nationaux. Donc, on est de moins en moins en mesure d’assurer nos intérêts nationaux, parce qu’on se laisse marginaliser par nos plus proches partenaires.
Le sénateur Boisvenu : Merci beaucoup; c’est très intéressant.
[Traduction]
Le sénateur Boehm : Je remercie nos témoins. J’ai des questions pour les trois.
Madame Csenskey, ma première question s’adresse à vous. Vous avez récemment corédigé un article intitulé « Post‑quantum cryptographic assemblages and the governance of the quantum threat ». Nous savons que les véhicules à essence sont vulnérables depuis un certain temps en raison de leur électronique, mais c’est la première fois que je vois quoi que ce soit sur la façon dont les véhicules électriques entrent également dans cette catégorie de vulnérabilité. Dans d’autres comités du Sénat, nous avons examiné les avantages des véhicules électriques et la nécessité d’installer des bornes de recharge, etc. Vous avez parlé plus précisément de la menace que représentent les ordinateurs quantiques capables de déjouer les systèmes intégrés dans les véhicules électriques, particulièrement en ce qui concerne les freins. Pourriez-vous nous éclairer sur ce point, et nous dire si nous serons, nous ou l’industrie, prêts à faire face à cette situation, ou si vous connaissez des groupes particuliers qui s’abaisseraient à de telles bassesses en utilisant des logiciels malveillants dans ce domaine?
Mme Csenkey : Merci beaucoup pour cette question.
Je vous suis très reconnaissante de mentionner cet article. Comme vous l’avez dit, il s’agit d’un article publié en collaboration dans une revue universitaire. Ma coautrice et moi‑même avons examiné la façon dont différents États coopérants tentent de comprendre la menace quantique et les capacités des ordinateurs quantiques — de façon très générale, mais dans des contextes et des cas précis. En tant que technologie, les ordinateurs quantiques peuvent avoir un large éventail de capacités et de possibilités. Nous pouvons faire des choses formidables grâce à eux. Ce sont d’excellents ordinateurs qui traitent de grandes quantités de données, mais ils peuvent aussi être utilisés pour des choses moins bonnes.
Essentiellement, dans notre article, nous nous sommes penchés sur la façon dont les États coopérants comprennent la menace quantique, et sur ce que ces points d’intersection de compréhension ou d’incompréhension signifient pour la coopération future en matière de défense et de sécurité. Nous avons constaté qu’il y avait des divergences entre les différents alliés coopérants, tout d’abord en ce qui concerne la compréhension de la menace quantique, et aussi la coopération pour trouver des solutions. Nous avons constaté qu’il existait un certain nombre de voies, à la fois de compréhension et d’incompréhension.
L’une d’elles était la coopération et le partenariat en matière d’infrastructure. Il s’agissait en partie de comprendre comment la menace quantique peut avoir une incidence sur l’infrastructure et comment différents États, par l’entremise de leurs divers ministères, peuvent travailler ensemble par l’entremise de diverses associations pour se protéger contre cette menace et protéger leurs infrastructures gouvernementales internes, ainsi que les infrastructures essentielles, contre les menaces quantiques et les auteurs de menaces quantiques.
Comme vous l’avez mentionné, nous pourrions parler des véhicules électriques et de l’ensemble de l’infrastructure dont ils font partie. Il ne s’agit pas seulement des véhicules, mais aussi des ordinateurs qui les équipent. Il y a également les données recueillies, l’endroit où elles sont stockées et toutes les différentes technologies qui doivent être connectées pour que cela fonctionne. Cela comprend aussi l’infrastructure physique de nos routes et de nos bornes de recharge, ainsi que les personnes qui utiliseront ce type de technologie dans le cadre de ces grandes infrastructures qui se croisent.
Le sénateur Boehm : Je m’excuse de vous interrompre, mais cela s’appliquerait également au matériel de défense. Au fur et à mesure que nous tirons des leçons de la guerre en Ukraine et que nous voulons moderniser, et peut-être utiliser davantage de véhicules et de systèmes électriques et autres, y a-t-il un risque que l’aspect informatique quantique ait un impact ou, dirons‑nous, qu’il déjoue les algorithmes qui pourraient déjà exister?
Mme Csenkey : Merci pour cette question.
C’est quelque chose que je vais examiner plus en détail. Je viens tout juste de recevoir une subvention du ministère de la Défense nationale dans le cadre du Programme de subventions de coopération ciblées de la Mobilisation des idées nouvelles en matière de défense et de sécurité, pour examiner cette question précise.
Le sénateur Cardozo : J’ai deux questions. Je vais les poser toutes les deux, et chacun d’entre vous pourra choisir celle qui lui convient.
Nous parlons beaucoup des cybermenaces internationales. Pensez-vous qu’il y a des cybermenaces nationales? Y a-t-il des acteurs non étatiques, de mauvais acteurs au Canada, qui commencent à attirer l’attention des forces de sécurité et qui pourraient représenter une menace pour notre système de cybersécurité?
L’autre est un système à plus long terme. Je pense à la mondialisation et au commerce. Il y a une dizaine d’années, il semblait que cela allait durer éternellement. Puis, il y a environ cinq ans, nous avons soudainement déclaré que nous n’allions pas nous mondialiser, ou nous nous sommes éloignés de la mondialisation. Est-il envisageable que nous nous retirions de notre cybersystème, d’Internet? Le monde en ligne étant mondial, le World Wide Web, aurons-nous un jour un système dont nous retirerons des parties pour des raisons de sécurité parce que nous n’aurons tout simplement aucun contrôle sur la sécurité du système à un moment donné?
M. Wilner : Pour répondre à votre première question, il y a des acteurs nationaux qui sont prêts et qui mènent des attaques. Bon nombre d’entre eux sont des criminels. Certains d’entre eux sont organisés. Certains sont de petite taille. Je pense que nous avons surtout centré la discussion et nos efforts sur les activités cybernétiques menées par les États. En toute franchise, je pense que c’est la pointe de l’iceberg. Nous savons que le marché en ligne est en train d’être détruit par des cybercriminels, et bon nombre d’entre eux — ou du moins certains d’entre eux — sont actifs dans notre pays. Il en va de même pour certains groupes extrémistes, terroristes, extrémistes d’extrême droite et autres. Nous devons être attentifs à la fois à l’intérieur et à l’extérieur de nos frontières.
Pour ce qui est de votre deuxième question, le Splinternet est en train d’arriver. Nous vivons dans un monde où l’accès à Internet est divisé, en fonction de la nationalité de chacun. Nous savons que la Russie et la Chine sont en train de créer leurs propres îlots. Vous pouvez imaginer un avenir où, pour un certain nombre de raisons, nous n’aurons peut-être pas un îlot Internet canadien, mais un îlot partagé avec des alliés et des partenaires traditionnels. Cela me semble fort probable.
M. Leuprecht : En ce qui concerne les menaces nationales et internationales, l’élément clé, bien sûr, c’est qu’il y a des acteurs étatiques — en particulier la Russie et la Chine — qui ont des capacités que personne ne peut égaler. L’infiltration de SolarWinds en est probablement le meilleur exemple. On estime qu’il a fallu environ 18 mois, et probablement un millier de personnes à la Russie pour réaliser cet exploit. La Russie et la Chine ont des capacités qui représentent une véritable menace existentielle dans la manière dont elles peuvent être déployées contre nos systèmes et d’une façon que, selon moi, les acteurs non étatiques et nationaux ne peuvent tout simplement pas fournir. En même temps, seulement environ 1 % à 1,5 % de ces risques émanent d’acteurs étatiques, mais ces risques ont un impact potentiellement élevé que seuls les gouvernements peuvent contrer et dissuader efficacement.
Mme Csenkey : Pour revenir à votre question sur la mondialisation et la compréhension du lien entre les technologies, les gens, les services et les idées par Internet, et quant à savoir s’il arrivera bientôt que ces choses soient peut-être moins connectées et plus isolées, je ne le crois pas.
Nous voyons de plus en plus d’appareils, de technologies et de gens qui se connectent en ligne. On l’a vu surtout pendant la pandémie, et maintenant, de nombreux services sont disponibles en ligne. De nombreuses personnes ont différents appareils connectés à leur domicile. On peut considérer cela comme l’Internet des objets, l’Internet des appareils, mais aussi l’Internet des services et des gens. Il ne s’agit pas seulement de réfléchir à la façon dont nous sommes connectés à l’échelle mondiale en raison de la mondialisation, mais aussi au fait qu’il y a tellement de produits différents qui doivent se connecter à Internet pour fonctionner, et cela dans tellement de secteurs différents aussi, pas seulement dans nos maisons, mais dans les hôpitaux ou dans le secteur des transports.
Je ne pense pas que l’on puisse dire qu’à un moment donné, nous ne serons plus aussi connectés ou qu’il y aura moins d’objets et de personnes connectés. Je crois que nous avons constaté une plus grande participation dans l’espace en ligne et une augmentation de l’offre de services essentiels accessibles par l’entremise de cet espace. Je pense que c’est une opportunité, mais cela comporte aussi des risques et des menaces potentielles. Surtout lorsque les systèmes et services essentiels sont en ligne, c’est quelque chose que nous devons comprendre et protéger.
La sénatrice M. Deacon : Merci d’être ici aujourd’hui.
Madame Csenkey, je tiens la Balsillie School en haute estime, et je vais commencer par vous poser une question. J’ai toujours un grand plaisir à parler aux étudiants de cet établissement. Dans votre déclaration préliminaire, vous avez parlé de l’importance d’avoir des sources d’énergie fiables pour nos systèmes de cybersécurité. Vous avez fait allusion aux vieilles sources d’énergie et technologies et aux maillons de ces chaînes. En y réfléchissant, je me suis souvenue de la panne que nous avons connue dans l’Est de l’Amérique du Nord et qui a privé d’électricité une grande partie du Canada. Cela fera bientôt 20 ans, étonnamment, mais cela nous a aussi montré à quel point notre réseau électrique est vulnérable. Je me demande si nous avons fait quelque chose, ou si, de votre point de vue, nous avons fait suffisamment pour renforcer le réseau, ou si nous continuons de reporter ces travaux essentiels et nécessaires parce qu’ils sont coûteux et perturbateurs?
Mme Csenkey : Merci beaucoup pour cette question.
C’est certainement une question importante, surtout lorsque nous pensons à connecter davantage d’appareils, ou à l’exemple des véhicules électriques dont nous avons parlé aujourd’hui. Ces objets ont besoin d’électricité pour fonctionner, et nous pouvons voir à quel point il est important d’avoir de l’électricité pour fonctionner dans notre vie quotidienne. Nous l’avons aussi vu récemment à Ottawa, lorsqu’il y a eu une panne d’électricité en raison d’une autre tempête.
Je pense que nous devons veiller à ce que les systèmes déjà en service puissent faire la transition en toute sécurité vers les réseaux numériques. Lorsque vous avez des anciens systèmes qui n’ont peut-être pas la sécurité dont nous avons besoin aujourd’hui et qui se connectent à des appareils, à d’autres services ou à d’autres infrastructures par Internet, nous devons nous assurer qu’ils communiquent ensemble, mais qu’ils le font en toute sécurité.
Nous pouvons toujours faire plus. Lorsque nous parlons de cela dans le contexte de la cybersécurité, nous ne pouvons pas régler les problèmes une fois pour toutes. C’est quelque chose que nous devons toujours revoir. Nous devons nous adapter constamment. Nous devons nous assurer de ne pas nous contenter d’établir une norme ou une stratégie en espérant que cela fonctionnera pour les 5, 10 ou 15 prochaines années.
La sénatrice M. Deacon : Laissons cela de côté et passons à un autre sujet dont vous avez fait mention, et qui a été soulevé plus tôt aujourd’hui. Nous avons déjà abordé la question de la corruption quantique, et plus récemment, dans le cadre de notre évaluation du CST, qui a eu lieu juste avant, comme on l’a mentionné. L’informatique quantique et la possibilité de perturber le domaine de la cyberdéfense sont des éléments très importants, surtout en ce qui concerne le chiffrement. Mon personnel et moi-même avons récemment rencontré Greg Dick, professeur à l’Institut Périmètre, juste en face de chez vous. Il nous a donné l’impression que le Canada est, ou est en train de devenir un chef de file mondial dans le domaine de l’informatique quantique et qu’un grand nombre de jeunes gens brillants travaillent dans ce domaine. Comme vous avez déjà longuement parlé de l’informatique quantique, je me demande si le Canada fait suffisamment d’efforts pour développer les talents et les connaissances dans ce domaine qui est clairement présent chez nous aujourd’hui et qui le sera bientôt davantage.
Mme Csenkey : Merci beaucoup pour cette question.
C’est un autre enjeu très important. Je pense que le Canada a l’expertise nécessaire. Nous avons de nombreux centres régionaux d’experts, tant dans le milieu universitaire que dans l’industrie, qui travaillent au développement et à la compréhension de ces technologies.
La publication récente de la Stratégie quantique nationale, ainsi que de la Stratégie S & T, fournit vraiment un espace et un cadre pour s’engager davantage avec ces centres et ces chercheurs afin de vraiment cultiver une relation entre l’industrie, le milieu universitaire et le gouvernement dans divers ministères et acteurs gouvernementaux intéressés. Il est vraiment important de favoriser cette relation à triple hélice entre toutes ces parties. C’est vraiment de cette façon que nous pouvons, en tant que pays, nous assurer d’investir dans les bons types de technologies et dans les applications sécurisées de ces technologies, tout en pensant à l’avenir et en veillant à disposer de l’expertise nécessaire pour continuer à travailler sur ces technologies et à faire de nouvelles avancées. Cela comprend le recrutement de personnes qui ne se sont peut-être jamais engagées dans ce type de travail. Je pense aux femmes et à d’autres groupes sous-représentés qui s’intéressent aux STIM et à ce genre de domaines.
La sénatrice M. Deacon : Merci.
Le sénateur Richards : Merci beaucoup à tous les témoins de leur expertise.
Je vais poser une question à M. Leuprecht. C’est une question à laquelle je ne pense pas qu’on puisse répondre, mais c’est bien là le problème. Pourquoi pensez-vous que le Canada n’a pas la volonté d’élaborer ses propres politiques indépendantes dans le Nord ou ailleurs? J’ai mentionné dans un article que j’ai écrit la semaine dernière que si les États-Unis avaient un allié fiable parmi les anciennes colonies, ce n’était plus le Canada, mais l’Australie, ce que je trouve extrêmement regrettable compte tenu de la conjoncture actuelle et des mauvais acteurs sur nos côtes. Pourriez-vous nous dire ce que vous en pensez?
M. Leuprecht : C’est une excellente question.
Premièrement, nous avons toujours une pensée très linéaire et cinétique, surtout lorsqu’il s’agit de questions comme la cybersécurité, la sécurité nationale ou la défense en général. C’est très dépassé et obsolète. Les gens ne peuvent ou ne veulent tout simplement pas se pencher sur les questions de sécurité internationale contemporaines. Elles sont complexes, elles sont difficiles et, au bout du compte, elles exigent des changements importants dans les investissements.
Deuxièmement, une grande partie de cette conversation est controversée en tant que politique, et elle est controversée en ce qui concerne l’investissement requis. Dans ce contexte, les gouvernements et, je crois, les politiciens de certaines allégeances préfèrent l’éviter. En même temps, je pense qu’on a l’impression que cela détourne l’attention des autres programmes politiques que les gouvernements préfèrent mettre en œuvre, alors n’insistons pas trop sur ces questions.
Troisièmement, je pense que nous manquons vraiment de stratégie au Canada, au niveau tant national qu’international. Nous critiquons toujours les États-Unis, mais pour le meilleur ou pour le pire, les Américains ont une vision très claire de leur pays. Nous ne sommes peut-être pas d’accord avec certains aspects de cette vision, mais elle est claire. Montrez-moi un membre de la classe politique canadienne qui a une vision claire de ce que nous voulons ou devons faire dans 10 ou 20 ans. De quoi avons-nous besoin aujourd’hui pour préserver la sécurité, la prospérité et la démocratie qui nous sont si chères?
Nous avons ici l’occasion de réfléchir sérieusement. Je pense que cela découle — je veux être charitable —, mais disons, d’une certaine paresse intellectuelle. Nous nous sommes accrochés aux États-Unis pendant des décennies, comme beaucoup de nos alliés, d’ailleurs, et il est tout simplement plus facile de suivre les États-Unis. Bien entendu, les intérêts et l’idéologie des États-Unis s’écartent des priorités et des intérêts nationaux du Canada et d’autres alliés clés.
Le fait d’avoir des politiques véritablement indépendantes — surtout en matière de politique étrangère, mais aussi, de façon plus générale, pour la défense et la sécurité — pourrait être une très grande source de division dans un pays comme le Canada. Je vous rappelle, sénateur, comme vous le savez, que la plus importante crise de l’unité nationale au pays a été causée par la politique de défense, par la conscription, bien sûr. Les gouvernements se rendent compte que cela va être très difficile, alors ils préfèrent simplement éviter les problèmes. Cela signifie que nous réduisons notre capacité de façonner l’environnement de la sécurité internationale parce que nous devenons de plus en plus un allié peu fiable et imprévisible.
Le sénateur Richards : J’ai dit la même chose dans mon article. Merci beaucoup.
La sénatrice Dasko : J’aimerais approfondir un peu plus le sujet des forces et des faiblesses de la Russie. Monsieur Wilner, vous avez dit plus tôt que la spécialité des Russes était la désinformation. Vous avez également dit qu’ils sont passés au mode destructeur, mais que leurs capacités se sont avérées limitées. Cependant, il y a quelques minutes, M. Leuprecht a parlé des atouts de la Russie et de ses forces en matière de cyberactivité, de cyberguerre, de ressources et de forces particulières. En fait, vos commentaires sur les capacités limitées de la Russie me rappellent ce que nous avons entendu au sujet des soldats russes après leur invasion de l’Ukraine. On nous a dit qu’en fait, ils étaient mal formés et mal dotés en ressources, ce qui revient à ce que vous venez de dire.
Compte tenu de ces points de vue, je ne sais pas si nous sommes en désaccord les uns avec les autres ou si nous pourrions simplement examiner un peu plus les forces de la Russie en matière de cyberguerre, ainsi que ses faiblesses. J’aimerais que nous nous penchions un peu plus sur la question afin que je puisse mieux comprendre. De toute évidence, compte tenu des activités de la Russie en Ukraine et au Canada, il est très intéressant pour les Canadiens de comprendre cela.
M. Wilner : Je vous remercie de vos commentaires.
Mon collègue et moi travaillons beaucoup ensemble, alors nous sommes d’accord sur bien des choses. Je suis probablement d’accord sur ce point également.
Ce qui s’est passé, je pense, c’est que la Russie s’est toujours concentrée sur l’utilisation de la cybernétique à des fins de désinformation, mais son orientation a manifestement changé en raison de la guerre en Ukraine. L’objectif était d’essayer d’assouplir le terrain avec des cyberopérations en prévision de son opération de février dernier. Cela ne s’est pas très bien passé pour la Russie. Je pense que certains commentateurs, y compris moi-même, ont été un peu surpris de sa piètre performance en matière de cybernétique.
Je pense qu’une des raisons pour lesquelles elle n’a pas réussi, c’est que l’Ukraine n’est pas restée les bras croisés pendant les 10 dernières années. Elle a renforcé ses capacités cybernétiques, comme je l’ai dit, avec des entreprises, des alliés, dont le Canada et les États-Unis, et elle s’attendait à ce que la situation soit bien pire. Elle a ensuite été en mesure de répondre efficacement à la Russie, tant du point de vue du processus de protection des infrastructures que des communications.
Cela ne veut pas dire que la Russie n’investit pas beaucoup, comme l’a laissé entendre M. Leuprecht. Elle le fait. Elle est encore un requin dans le cyberespace. Pourtant, je pense que la leçon à tirer de l’Ukraine, c’est que la planification et l’investissement appropriés dans la cyberdéfense peuvent annuler une partie de l’investissement consacré à l’offensive.
M. Leuprecht : Compte tenu de ce que M. Wilner vient de dire, les mesures actives soviétiques sont bien connues. Elles ont été déployées, y compris au Canada. C’est bien documenté. La Russie s’appuie sur une force qu’elle a perfectionnée pendant des décennies.
En même temps, ce que nous voyons en Ukraine, si vous examinez certains des rapports, comme les rapports de source ouverte de Microsoft, par exemple, vous verrez certains des avertissements du CST. Nous savons que la Russie a connu un certain succès, surtout en combinant cyberopérations et opérations cinétiques. Ce ne sont pas vraiment les preuves qui manquent. Nous avons également été très efficaces pour aider l’Ukraine grâce à des équipes de cybermission et d’autres capacités afin de lui fournir le soutien nécessaire pour contrer, par elle-même ou avec de l’aide, les efforts plus vastes de la Russie visant à déstabiliser, en particulier l’infrastructure cybernétique civile, mais aussi celle de défense. Comme l’a dit mon collègue, c’est le résultat de la prévoyance, de capacités réelles qui ont imposé des contraintes réelles, mais aussi de vrais moyens de dissuasion contre la capacité de la Russie à déployer certaines de ses forces.
Néanmoins, à la lumière des avertissements du CST, il ne faut pas sous-estimer les capacités de la Russie. J’ai souvent comparé notre propre infrastructure gouvernementale à ma fourgonnette, qui a plus de 12 ans. Elle roule assez bien, mais ce n’est certainement pas le véhicule idéal. Il y a beaucoup de travail à faire pour nous assurer que nos réseaux sont suffisamment bien protégés contre les activités hostiles.
Le sénateur Yussuff : Je remercie les témoins de leur présence.
Madame Csenkey, j’aimerais revenir sur certaines déclarations que vous avez faites plus tôt. Comme vous le savez, le Canada et les États-Unis participent au renouvellement du NORAD, et les deux pays ont engagé d’énormes ressources. On a l’impression, avec la venue du président plus tard cette semaine, qu’il faut accélérer le calendrier des répercussions du NORAD et de son renouvellement. Nous avons beaucoup appris au cours des nombreuses décennies qui se sont écoulées depuis que le NORAD existe.
Compte tenu du fait que 40 % de nos territoires se trouvent dans le Nord, il est très difficile, malgré les progrès et les efforts continus, de relier nos collectivités du Nord à celles du Sud. Vous avez parlé des différents niveaux d’infrastructure que nous avons, et plus important encore, des liens qui nous unissent. Je reconnais que vous parlez des perturbations quantiques qui pourraient survenir. Le fait que nos collectivités ne soient pas reliées n’est-il pas aussi une bénédiction? C’est peut-être l’occasion pour nous d’apprendre que les liens peuvent être perturbés. En même temps, dans le contexte du renouvellement du NORAD, que pensez-vous que nous puissions apprendre de cette expérience? Parallèlement, le Canada et les États-Unis savent très bien que notre principale source de perturbation viendra de deux pays, la Chine et la Russie, qui sont des alliés extrêmes contre nous dans la guerre en Ukraine, et de leur amitié. Les deux représentent une menace énorme pour nos frontières septentrionales. Y a-t-il quelque chose que vous aimeriez dire au sujet du renouvellement du NORAD qui est sur le point d’avoir lieu? Plus important encore, quels conseils pourriez-vous nous donner?
Mme Csenkey : Merci beaucoup pour cette question.
La modernisation et le renouvellement du NORAD ont été évoqués à maintes reprises. Lorsqu’il est question de modernisation, il est important de comprendre que cela doit également inclure la modernisation des organisations, de l’infrastructure dont nous parlons, des appareils et des services et de la façon dont ils sont connectés.
Quand je pense à la modernisation dans le contexte du NORAD, les systèmes doivent être compatibles. Ils doivent être interopérables, surtout du point de vue de la défense. L’un des exemples que j’ai cités était l’informatique en nuage pour le commandement et le contrôle. Il s’agit donc d’apporter et de développer des technologies dans des espaces où elles n’ont pas été nécessairement utilisées auparavant et de les faire fonctionner sur place, dans un certain endroit. Mais il faut aussi s’assurer qu’elles fonctionnent avec nos alliés et qu’elles communiquent avec différentes technologies de manière sécurisée afin qu’il n’y ait pas d’espace et d’opportunités pour les acteurs malveillants de la cybermenace de perturber ces communications sécurisées et d’exploiter ces vecteurs de menace. Lorsque je pense à la modernisation, je pense que nous devons nous assurer de l’interopérabilité des systèmes lorsque nous les mettons à jour. Nous devons nous assurer que ces systèmes sont compatibles, mais nous devons aussi comprendre qu’ils ont une place physique dans un environnement opérationnel existant. Si nous voulons mettre à jour certains systèmes dans le contexte de la modernisation du NORAD, si nous envisageons de le faire dans des endroits plus éloignés, peut-être dans le Nord, dans des environnements opérationnels ou climatiques plus rigoureux, comment ces systèmes vont-ils fonctionner physiquement dans ces espaces?
L’autre exemple que j’ai évoqué est celui de l’informatique en nuage pour les systèmes de commandement et de contrôle, mais comment est-elle alimentée? Allons-nous compter sur l’infrastructure électrique existante, ou allons-nous recourir à des micro-réseaux portables à haut rendement pour nous assurer que ces systèmes fonctionnent? Si nous mettons en place ces systèmes, comment nous assurons-nous qu’ils communiquent en toute sécurité avec nos alliés? Comment travaillons-nous avec les États-Unis pour protéger nos frontières numériques en plus de nos frontières physiques dans ces différents environnements opérationnels?
Il y a deux choses à considérer : nous devons nous assurer de la compatibilité et de l’interopérabilité des systèmes, mais aussi de leur capacité à résister aux perturbations dans les environnements physiques et numériques.
[Français]
Le vice-président : Merci, madame Csenkey. Avant de passer au second tour, j’ai une question pour M. Leuprecht. Les menaces de cyberattaques ont de multiples volets et les objectifs des attaquants peuvent varier selon les pays. Sommes-nous plus vulnérables de nous faire voler des secrets et d’être l’objet de saccages qui pourraient compromettre les opérations courantes de nos institutions, comme les centrales électriques ou les banques?
M. Leuprecht : Il y a deux mondes particuliers sur cette question au Canada actuellement.
Il y a une ancienne loi qui oblige les organisations à fournir un rapport au gouvernement chaque fois qu’il y a un incident lié à la cybersécurité dans une entreprise.
Le problème, c’est qu’il n’y a pas de conditions ou d’échelle claires actuellement. Prenons l’exemple d’une banque, où tout le secteur financier ferait l’objet d’une attaque ou d’une menace surpassant la capacité de cette banque à se défendre elle-même. Quelles seraient les conditions pour que cette banque puisse faire appel au CST ou à d’autres moyens pour lui venir en aide? Cela concerne non seulement la défense, mais aussi, potentiellement, le déploiement de mesures actives et offensives, afin de neutraliser la menace posée envers l’entreprise ou certaines infrastructures critiques au pays. Il y a un décalage de dialogues et un décalage opérationnel de collaboration entre le gouvernement et l’infrastructure critique sur le plan de la défense de nos systèmes.
Le vice-président : Merci beaucoup. Nous allons passer au second tour avec le sénateur Boehm.
[Traduction]
Le sénateur Boehm : Mes questions s’adressent aux professeurs Leuprecht et Wilner.
Tout d’abord, j’ai peine à croire que tous nos gouvernements au pouvoir, quel que soit leur parti, font preuve de paresse intellectuelle en élaborant les politiques du pays. Je n’aime pas entendre dire que notre pays est un allié peu fiable et imprévisible. Il me semble que les mesures que nous prenons dans le cas de l’Ukraine prouvent le contraire.
Monsieur Leuprecht, vous nous avez présenté votre doctrine d’engagement fonctionnel en matière de cybersécurité. Quelle application concrète proposez-vous? Devrions-nous, dans notre rôle de législateurs, envisager de promulguer une loi nationale afin d’inciter le gouvernement à proposer des solutions? D’un autre côté, serait-il possible de confier cela à une organisation internationale afin d’inviter d’autres nations à y participer? Je voudrais que vous pensiez à cette question.
Monsieur Wilner, dans la dernière partie de votre exposé, vous avez parlé d’une stratégie nationale de cyberdissuasion. Quelle volonté politique faudra-t-il pour cela? Pensez-vous qu’au contraire, un événement galvanique totalement imprévisible nous forcera à élaborer cette stratégie?
Il ne nous reste que deux minutes, mais vos réponses m’intéressent beaucoup.
M. Leuprecht : Je ne dépasserai pas 60 secondes.
Pour répondre à vos commentaires sur le fonctionnement de l’élaboration de politiques, le Canada ne peut espérer marquer beaucoup de points en politique étrangère, sauf peut-être avec la résolution 88, ce qui explique que nos gouvernements et nos politiciens s’investissent peu à cet égard.
L’engagement fonctionnel consiste à cerner les principaux domaines où nous constatons des comportements inacceptables. J’ai présenté quelques suggestions dans ma déclaration préliminaire. Il s’agit de nous unir avec nos alliés pour fixer des limites claires à nos adversaires. Nous le ferions bien sûr de concert avec les États-Unis, mais aussi avec d’autres puissances moyennes alliées. Nous affirmerons ainsi que si nos adversaires dépassent ces limites de tolérance, nous interviendrons de concert avec nos alliés, ce qui nous donnera le pouvoir et la capacité d’agir. Nous affirmerons que nos politiciens sont prêts à agir. Le problème qui paralyse le Canada est semblable à celui de nombreux pays européens. Nos lois nous accordent les capacités et les autorisations d’agir, mais notre volonté politique est faible. Le problème ne réside pas dans notre législation. Nous devons fixer des limites pour que nos adversaires sachent à quoi s’attendre...
Le sénateur Boehm : Merci, monsieur Leuprecht. Votre réponse est excellente.
M. Wilner : Le Canada n’a jamais dû créer sa propre posture de dissuasion, parce qu’il fait partie des deux plus grandes alliances au monde, le NORAD et l’OTAN, ce qui lui confère un pouvoir de dissuasion. Comme le cyberespace est très différent, le NORAD et l’OTAN ne peuvent pas intervenir de la bonne façon. C’est pourquoi je propose une posture de cyberdissuasion reposant sur notre intention et notre détermination d’intervenir en cas d’attaque, de fixer des limites de tolérance. Je suis convaincu que nous avons su établir notre crédibilité. Nous devons lancer ces avertissements à nos adversaires. La communication est essentielle pour que la dissuasion soit efficace.
Notre posture doit souligner ces trois éléments. Elle doit attester de notre leadership politique, mais aussi s’appuyer sur une réflexion intelligente du point de vue militaire et stratégique, tant au ministère de la Défense nationale et à Sécurité publique Canada qu’au Centre de la sécurité des télécommunications. Elle doit partir de la base, mais la décision doit être politique.
[Français]
Le vice-président : Avant de conclure, j’aurais une question pour M. Wilner. Dans la lutte contre les cybercriminels, est-on condamné à être toujours et seulement sur la défensive, ou pourra-t-on assister un jour à des arrestations et à des mises en accusation de cybercriminels?
[Traduction]
M. Wilner : La cybercriminalité est omniprésente. Le Canada doit, entre autres choses, créer des outils et des mécanismes pour stopper la criminalité dès qu’elle se manifeste et pour arrêter les criminels lorsque c’est possible. Il est évident que nous savons le faire à l’échelle nationale, mais nous devons aussi le faire en partenariat avec nos alliés. La lutte contre la criminalité dans le cyberespace est semblable à celle que nous menons partout ailleurs. Nous pouvons tirer d’excellentes leçons de notre lutte contre la criminalité dans l’espace physique. Votre question est excellente. Je n’ai pas de réponse complète à vous donner, mais nous poursuivons cette réflexion.
[Français]
Le vice-président : Cela nous amène à la fin de ce groupe de témoins. Je vous remercie tous de votre présence. Vos idées et vos connaissances sont très appréciées. Nous allons suspendre brièvement la séance; nous reviendrons à 18 h 20 pour notre troisième et dernier groupe.
Je rappelle aux membres du comité que nous en sommes à notre troisième groupe de témoins. Nous étudions toujours les cybermenaces à l’endroit de l’infrastructure de défense du Canada.
Nous avons, encore une fois, des témoins très intéressants. Je souhaite la bienvenue à M. Brandon Valeriano, agrégé supérieur émérite, Marine Corps University, et conseiller principal, Cyberspace Solarium Commission 2.0, et à M. Alexis Rapin, chercheur en résidence à la Chaire Raoul-Dandurand en études stratégiques et diplomatiques de l’Université du Québec à Montréal. Enfin, nous accueillons par vidéoconférence M. Quentin E. Hodgson, chercheur principal en défense internationale, RAND Corporation. Bienvenue et merci de votre présence.
Vous aurez chacun cinq minutes pour faire vos remarques préliminaires, qui seront suivies de questions de la part des membres du comité. Nous commençons avec M. Valeriano. La parole est à vous.
[Traduction]
Brandon Valeriano, agrégé supérieur émérite, Marine Corps University, et conseiller principal, Cyberspace Solarium Commission 2.0, à titre personnel : Merci. Je suis heureux d’être ici et j’espère que nous produirons une séance intéressante.
Disons tout d’abord que la cybersécurité et les cyberopérations malveillantes sont des menaces qui transforment la sécurité nationale d’un pays. Elles visent parfois les faiblesses d’infrastructures systémiques critiques et, d’autres fois, des vulnérabilités issues de campagnes d’information qui visent à remodeler le cœur et l’esprit du pays défenseur. Ces menaces sont omniprésentes et touchent tous les aspects du pays. Cependant, bon nombre de ceux qui prétendent que la cyberpuissance et d’autres technologies émergentes ont déclenché une révolution des affaires militaires se trompent lourdement. Cette mauvaise interprétation est dangereuse. Les cyberoutils sont utiles dans certains cas, comme pour miner la confiance des gens envers l’État ou pour harceler des dissidents, mais ce sont de piètres outils de guerre et de coercition.
Bien des gens prédisaient que la guerre russo-ukrainienne répondrait au sempiternel avertissement de l’arrivée d’une cyberguerre. Certains ont soutenu qu’elle produirait une campagne cybernétique spectaculaire, alors que d’autres prédisaient que pour la première fois, les États dotés de véritables cybercapacités les mettraient toutes en jeu. Pourtant, ces prédictions radicales ne se sont pas concrétisées. La guerre s’est déroulée de manière entièrement différente de ce que la plupart des experts avaient prédit. Bien qu’elle ait produit une hausse spectaculaire des cyberopérations, les données recueillies sur cette guerre n’indiquent rien de nouveau dans le style des attaques, les cibles et l’efficacité des opérations. Les chiffres sont frappants. Les opérations ont provoqué 47 incidents en 2022 alors qu’on n’en avait compté que 28 entre 2014 et 2020. Nous avons cependant constaté avec surprise que la gravité de ces incidents a diminué et que ces opérations ne se sont pas tournées vers des cibles gouvernementales ou militaires. Elles ont continué à cibler des infrastructures civiles essentielles privées.
Nous pouvons donc en conclure que les résultats spectaculaires que nous avions prédits ont échoué lamentablement. Pour quelle raison? De nombreuses personnes prétendront expliquer pourquoi les cyberopérations de la Russie ont échoué, mais bon nombre d’entre elles auront tort, parce que ces opérations provenaient d’événements sociaux à multiples causes. Cet échec découle de nombreux facteurs. Nous pourrons les disséquer pendant la période de questions, mais essentiellement, les cyberopérations sont loin d’avoir démontré leur efficacité sur le champ de bataille.
Soulignons que l’idée selon laquelle la guerre évoluera dans le domaine des cyberopérations n’est qu’un fantasme très éloigné de la réalité. Il est très attrayant dans l’imagination populaire, mais la réalité est bien différente. Les cyberopérations et la technologie moderne n’assainiront pas la guerre. La guerre russo-ukrainienne a marqué un retour dévastateur au théâtre habituel du déferlement de soldats, d’attaques par chars d’assaut et de la guerre des tranchées.
Alors où en sommes-nous maintenant? L’évolution sous l’administration Biden et sa stratégie nationale en cybersécurité a été plutôt lente, mais transformatrice. La version récente de cette stratégie impose des coûts économiques, mais elle ne mentionne pas de coûts provenant du cyberespace. On y minimise maintenant les opérations militaires d’offensive. On s’efforce de transmettre le fardeau aux producteurs de logiciels et de matériel pour protéger les utilisateurs au lieu de compter sur l’État pour protéger toutes les cibles.
Le Canada a beaucoup de leçons à tirer de cela. La promesse d’une domination militaire dans le cyberespace est sans issue. Il faut absolument l’éviter. Pour contrer les répercussions de cyberopérations spectaculaires, il faut avant tout établir de solides organisations défensives pour protéger les infrastructures essentielles et organiser la défense. Il est crucial que l’Occident se place en tête de file pour protéger la société civile. Il est crucial d’atténuer et d’éliminer l’influence des maliciels à clic nul que l’on peut acheter comme on achète des armes. L’ordre international fondé sur des règles établit des normes pour le cyberespace, mais leur mise en œuvre a été incohérente, et l’on manque de règlements. Le Canada peut jouer un rôle de chef de file à cet égard et promouvoir une vision plus réaliste de la cybersécurité à l’échelle internationale.
En fait, un État incapable de protéger son électricité, ses écoles et le fonctionnement de ses hôpitaux est un État très faible. Il est essentiel que nous protégions nos infrastructures essentielles, que nous organisions notre défense. Nous devons établir des plans pour assurer le maintien du gouvernement et pour renforcer la résilience des secteurs privé et public. Ne vous laissez pas influencer par les proclamations dramatiques des futuristes, mais consolidez plutôt les faiblesses évidentes de notre société. Dans le contexte de la cybersécurité, l’État a pour véritables rôles d’organiser, de développer un effectif, d’établir des plans de partage de données entre les secteurs public et privé ainsi que de coordonner la collecte et l’analyse des données. Ces rôles ne semblent pas spectaculaires, mais ils sont critiques. Pour contrer efficacement les menaces venant du cyberespace, il faut reconnaître que la cybersécurité repose avant tout sur le secret, la défense et l’organisation.
Merci.
[Français]
Le vice-président : Merci, monsieur Valeriano. J’invite maintenant M. Rapin à faire sa présentation.
[Traduction]
Alexis Rapin, chercheur en résidence, Chaire Raoul-Dandurand en études stratégiques et diplomatiques, Université du Québec à Montréal, à titre personnel : Monsieur le président, mesdames et messieurs les membres du comité, bonsoir et merci de m’avoir offert cette occasion de comparaître devant vous aujourd’hui.
Mes recherches portent sur des questions liées à la cyberstratégie, aux rivalités entre États dans le cyberespace et, de façon plus générale, aux répercussions de la technologie de l’information sur les affaires militaires et sur la sécurité internationale.
Depuis 2019, notre équipe de recherche tient une base de données consacrée à l’enregistrement public des cyberincidents géopolitiques ciblant le Canada, tant ses entités gouvernementales que ses entreprises, ses établissements de recherche et sa société civile. À l’heure actuelle, dans le cadre de notre recherche à source ouverte, nous avons enregistré 96 cyberincidents géopolitiques au Canada depuis 2010. Au moins huit de ces incidents peuvent être considérés comme ayant ciblé l’infrastructure de TI liée à la défense. Il s’agit, par exemple, d’une cyberintrusion à Recherche et développement pour la défense Canada en 2011; d’une campagne de cyberespionnage menée par la Chine contre des établissements de recherche en technologie navale en 2019; et, plus récemment, au début février, d’une attaque par rançongiciel contre l’entreprise Black & McDonald, un important entrepreneur canadien en défense. Ces exemples démontrent que les problèmes de cybersécurité liés à l’infrastructure de défense du Canada ne sont pas des menaces futuristes, hypothétiques et lointaines. Nous y faisons face déjà aujourd’hui et, en fait, depuis bien des années, comme certains de ces incidents le démontrent.
Ces incidents indiquent également que les cybermenaces contre l’infrastructure de défense du Canada peuvent prendre diverses formes et cibler divers types d’entités autres que celles du gouvernement fédéral. En tenant compte de la base industrielle de défense et de la communauté de recherche et développement militaires dans l’infrastructure de la défense, nous observons que les cybermenaces visent différentes cibles et que la chaîne d’approvisionnement de notre défense n’est pas plus solide que son maillon le plus faible.
Dans ce contexte, la menace croissante d’attaques par rançongiciel contre des entités canadiennes, par exemple, pose un défi majeur à la protection de l’infrastructure de défense. Bien que les attaques par rançongiciel soient principalement le fait d’acteurs criminels motivés par le profit, elles perturbent souvent notre sécurité nationale. Par exemple, des groupes de pirates qui compromettent d’importantes entreprises stratégiques peuvent tenter de vendre secrètement les données qu’ils ont volées à des tiers, comme à des puissances étrangères. Nous le constatons particulièrement dans le cas d’auteurs de rançongiciels russes, qui sont fortement soupçonnés de maintenir des liens avec la communauté du renseignement de leur pays. Au cours de ces 12 derniers mois, nous avons enregistré trois cas où de grands entrepreneurs canadiens de la défense ont été la cible d’attaques par rançongiciel. Au moins un de ces actes, qui a été perpétré contre la société aérospatiale CMC Électronique, venait d’un groupe basé en Russie dont nous ne comprenons pas encore bien la relation avec l’État russe.
Soulignons aussi que des cyberacteurs parrainés par leur gouvernement commencent à utiliser des rançongiciels pour recueillir des renseignements de façon clandestine. Au cours de ces derniers mois, des cyberacteurs iraniens, par exemple, ont apparemment tenté de déguiser des campagnes de cyberespionnage en cyberattaques criminelles afin de confondre les intervenants responsables d’y réagir et de pouvoir nier de façon plausible être les auteurs de ces attaques.
[Français]
D’autres types de cyberattaques menées directement par des acteurs étatiques pourraient chercher à viser les infrastructures de défense du Canada. Il est concevable, voire même probable, que des puissances adverses cherchent à infiltrer des systèmes canadiens afin de les cartographier et d’en évaluer les défenses, en vue de potentielles confrontations futures. Dans cette même optique, il est également possible qu’ils cherchent à y prépositionner discrètement des logiciels malveillants, capables d’être activés dans un bref délai.
En 2019, par exemple, des pirates informatiques étatiques russes ont cherché à explorer les réseaux informatiques de certaines infrastructures électriques américaines et canadiennes. De tels cas démontrent que les infrastructures critiques canadiennes sont d’ores et déjà activement scrutées par des acteurs étatiques adverses et doivent donc faire l’objet d’une très grande vigilance.
Alors que les enjeux de sécurité nationale, y compris dans le domaine de la cybersécurité, attirent une attention croissante dans le débat public canadien actuellement, il est important que les menaces en matière de cybersécurité soient désormais discutées plus ouvertement, plus vigoureusement et de manière moins cloisonnée.
L’audience que vous avez convoquée aujourd’hui est, à mon avis, une excellente occasion de le faire. Je me réjouis de répondre à vos questions. Merci.
Le vice-président : Merci beaucoup de votre présentation, monsieur Rapin.
Nous passons maintenant à notre dernier témoin aujourd’hui, soit M. Quentin Hodgson. Monsieur Hodgson, je vous invite à faire votre présentation.
[Traduction]
Quentin E. Hodgson, chercheur principal en défense internationale, RAND Corporation, à titre personnel : Je vous remercie de me donner l’occasion de vous parler aujourd’hui de ce sujet très important. Je suis chercheur principal en défense internationale pour la RAND Corporation, qui se voue à la recherche à but non lucratif et non partisane en politiques publiques.
Je ne m’arrêterai pas trop sur la nature de la menace, car nous venons d’entendre, à ce sujet, deux exposés qui présentent des points de vue légèrement différents. Je tiens simplement à souligner que l’idée des cybermenaces contre les infrastructures essentielles n’est pas nouvelle. Si vous vous souvenez, en 1997, la commission que le président des États-Unis avait chargée d’enquêter sur la protection des infrastructures essentielles a été la première à soulever cette notion de cyberattaques contre les infrastructures essentielles, du moins aux États-Unis. Bien qu’affirmant qu’ils ne s’attendaient pas à ce que le pays subisse une cyberattaque, ses membres ont souligné qu’ils constataient d’amples capacités d’exploiter les vulnérabilités de ses infrastructures.
Depuis, les technologies de communication électroniques, que les gens utilisent quotidiennement et grâce auxquelles nous tenons aujourd’hui cette audience, sont couramment exploitées. De plus, les acteurs de cyberattaques s’en prennent maintenant au matériel et aux logiciels qui contrôlent les processus physiques de fabrication, de génération et de distribution de l’électricité, de traitement de l’eau, et je ne mentionne là que quelques exemples.
M. Valeriano a parlé de la nature du conflit entre la Russie et l’Ukraine. C’est une étude de cas intéressante sur la façon dont un adversaire pourrait utiliser des cybercapacités dans le contexte d’opérations militaires. Il y a eu beaucoup de débats sur la mesure dans laquelle la Russie a déployé des cyberopérations, sur leur efficacité et sur le manque d’un tableau global de tout cela, du moins dans l’espace public.
Il importe de noter que les cyberopérations russes ont continué de cibler bon nombre des mêmes infrastructures essentielles que la Russie a toujours ciblées, en particulier en Ukraine, soit les institutions gouvernementales, les médias et les télécommunications, y compris, comme nous le savons depuis février dernier, une cyberattaque contre le système de communication par satellite fourni par Viasat que les médias ont amplement évoquée. En même temps, le gouvernement ukrainien a fait valoir que l’attaque contre le système Viasat et les points d’entrée qui le soutenaient n’a eu que très peu d’effet sur les communications militaires.
L’invasion russe de l’Ukraine est un conflit qui demeure vivant. Il faut donc faire preuve de prudence à l’heure d’en vouloir tirer des conclusions sur le rôle que les cyberopérations pourraient jouer à l’avenir, sans pour autant baisser la garde face à la menace qu’elles peuvent poser dans des crises futures ou des conflits émergents, en particulier avec des adversaires d’États pour ainsi dire comparables à la Russie et à la Chine. Il y a de nombreuses façons dont ils peuvent vouloir influer sur nos infrastructures essentielles et savoir quels sont les forces et les engins militaires que nous prévoyons déployer, et quelle sera notre participation à des incidents touchant la sécurité nationale. C’est un domaine important que nous ne devons pas perdre de vue, même si nous ne savons pas exactement quel sera l’avenir des cyberconflits.
Que pouvons-nous faire pour contrer ces menaces? Les gouvernements ont élaboré toute une gamme d’outils et tissé des relations pour tenter de contrer les cybermenaces. Tout le travail qui a été fait pour essayer de s’entendre sur les normes de comportement dans le cyberespace n’a eu qu’un succès mitigé, c’est le moins qu’on puisse dire. Des dirigeants comme le président Biden ont voulu signaler que les cyberattaques d’infrastructures essentielles ne seront pas tolérées. Il existe également un secteur privé dynamique et en croissance qui fournit des services de cybersécurité aux entités chargées des infrastructures essentielles, notamment en effectuant des évaluations de la vulnérabilité et des tests d’intrusion, dits « opérations de chasse », en cernant activement les activités cybernétiques malveillantes et en intervenant en cas d’incident. Nous avons constaté que le gouvernement est mieux équipé pour un échange plus efficace et viable de renseignements sur les cybermenaces grâce à ces organismes qui s’occupent d’analyser les renseignements échangés. Les entreprises qui gèrent une bonne partie des infrastructures essentielles dont nous dépendons sont plus conscientes de la nature de la menace et des répercussions qu’elle pourrait avoir sur leurs activités.
Le gouvernement des États-Unis, comme d’autres, a eu tendance à faire appel à l’adoption de normes de cybersécurité de manière volontaire plutôt que réglementée, ce qui est de plus en plus considéré comme une approche insuffisante. Plus récemment, aux États-Unis, du moins, nous avons vu certains efforts visant à utiliser un mélange des pouvoirs de réglementation et d’incitation dont dispose le gouvernement. Par exemple, l’Environmental Protection Agency a publié des lignes directrices à l’intention des États concernant l’inclusion de la cybersécurité dans les enquêtes sanitaires, ce qui, je le souligne, a fait les manchettes aujourd’hui parce que la mesure a été contestée par les propriétaires-exploitants des infrastructures essentielles. Il y a aussi le travail de la Transportation Security Administration visant à réviser les exigences en matière de cybersécurité pour les oléoducs et les gazoducs en raison de l’incident du pipeline Colonial.
Je terminerai en soulignant que les attaques contre les infrastructures essentielles ne sont pas simples. Je suis d’accord avec M. Valeriano pour dire que nous pouvons souvent être induits en erreur par ce que nous voyons dans la culture populaire. Il s’agit d’opérations extrêmement difficiles et complexes à entreprendre, alors il faut être prudent tout en étant conscient de la menace.
Merci. Je serai heureux de répondre à vos questions.
[Français]
Le vice-président : Merci beaucoup de votre présentation, monsieur Hodgson. Nous allons passer maintenant aux questions des sénateurs.
Je vous rappelle que, comme pour les groupes précédents, les questions, y compris les réponses, seront limitées à quatre minutes. Nous allons commencer avec le sénateur Boisvenu.
Le sénateur Boisvenu : Merci à nos témoins, qui étaient très intéressants. Monsieur Rapin, j’ai des questions liées à ma curiosité. Comment détectez-vous ces cyberattaques au sein de votre groupe de travail?
M. Rapin : On se base uniquement sur des rapports publics. On se base sur ce qui est relaté dans les médias et sur des rapports de compagnies de cybersécurité, par exemple, qui ont fait des recherches sur des incidents. On se base sur les déclarations du gouvernement fédéral. C’est, en quelque sorte, un travail de récolte de sources ouvertes où l’on essaie d’être aussi exhaustif que possible, mais on n’en sait pas plus que ce qui est divulgué publiquement.
Le sénateur Boisvenu : Vous n’approfondissez donc pas ce qui a trait aux auteurs ou aux faiblesses du système? Vous ne creusez pas plus loin la recherche?
M. Rapin : Évidemment, les incidents que l’on identifie peuvent nous servir à faire des études de cas, et on en fait aussi pour voir comment l’incident s’est déroulé, quelle est la cause de l’incident, ce qui aurait pu être fait différemment et ainsi de suite. La première étape de travail que l’on fait, c’est d’essayer de récolter des données sur lesquelles on peut baser nos réflexions.
Le sénateur Boisvenu : Vous avez émis une opinion qui ne m’a pas fait sursauter. Je n’étais pas surpris; vous dites que cela prend des discussions moins cloisonnées. Est-ce aussi un constat que vous faites, soit que, dans le domaine de la cybercriminalité au Canada, il y a beaucoup de silos? De plus, ces silos sont souvent très avares sur le plan du partage de l’information. On voit un peu ce qui se passe depuis trois semaines en ce qui concerne le gouvernement communiste chinois. Ce sont des bribes qui sortent à gauche et à droite et il y a comme l’absence d’un tout; est-ce votre vision des choses au Canada?
M. Rapin : Je peux moyennement me prononcer sur ce qui se passe à l’intérieur du gouvernement fédéral, car je n’y travaille pas et je n’ai pas d’informations privilégiées sur ce qui a changé ou non. Ce qui est certain, c’est que nous, en tant que chercheurs — et je dirais la même chose pour le public canadien en général —, n’avons pas le sentiment qu’il y a beaucoup de transparence sur ce qui est fait ou ce qui n’est pas fait. Pour nous, c’est l’un des obstacles que l’on rencontre pour poser un jugement sur les solutions ou les pistes de solutions qui pourraient être envisagées. Selon notre perspective, on ne sait pas très bien ce qui est déjà fait, ce qui n’est pas encore fait et ce qui pourrait être fait.
Le sénateur Boisvenu : J’aimerais m’inscrire pour la deuxième ronde, monsieur le vice-président.
[Traduction]
Le sénateur Yussuff : Je remercie les témoins de leur présence.
Monsieur Valeriano, vous avez soulevé des points très intéressants au sujet de ce qu’il ne faut pas perdre de vue au lieu de nous montrer alarmistes, mais je pense que les Canadiens en général s’inquiètent des faits lorsqu’ils se produisent plutôt que lorsqu’ils ne se produisent pas. Ce que vous voulez dire, c’est qu’il faut conseiller au gouvernement de s’occuper des choses qui ont un lien avec la vie des gens, pour qu’au moins on ait confiance en cela. Dans bien des cas, notamment en ce qui concerne la cybersécurité, les logiciels malveillants dans les hôpitaux et d’autres établissements, il va de soi que nous avons de quoi nous alarmer, et de plus en plus, à ce qu’il semble. Mais surtout, ils sont très perturbateurs lorsqu’ils se produisent, comme nous l’avons vu récemment avec Rogers Communications et certains hôpitaux.
J’aimerais aussi que tous les autres témoins participent. Ce n’est pas une question de pommes et de poires, mais d’un mélange des deux. Il s’agit de faire preuve de vigilance, mais en même temps, c’est un domaine de responsabilité en évolution du gouvernement national et des entreprises privées. Compte tenu de ce que nous avons vu et de ce que nous avons vécu au pays, et compte tenu de ce que M. Rapin a dit au sujet de la cyberattaque la plus récente contre certaines entreprises de la défense, quel effort le Canada devrait-il déployer à titre de fédération? Le gouvernement fédéral est limité quant à ce qu’il peut faire à l’échelle nationale, mais il doit aussi travailler avec les provinces et les territoires si nous voulons avoir une stratégie globale et aborder avec plus de précision certains aspects que vous avez relevés dans votre exposé.
M. Valeriano : Aux États-Unis, il est souvent question de notre approche pancanadienne. Or, en réalité, nous n’élaborons même pas des approches à l’échelle ministérielle. Nous devons penser de façon générale. Nous devons penser en collaboration. Les universitaires parlent souvent de collaboration entre les secteurs public et privé dans le cyberespace. Ayant travaillé dans le domaine des politiques au cours des 10 dernières années, je peux vous dire que je n’ai pas vu beaucoup de collaboration. Il y a un contact. On travaille ensemble. Mais il n’y a pas d’échange d’information. Pas d’échange de données sur les menaces. En fait, la communauté du cyberrenseignement a tendance à se voir comme une entreprise. Je suis très préoccupé, surtout aux États-Unis, par le fait qu’en faisant de ce secteur une entreprise, ils ont vendu tellement de données à tellement de silos différents, comme l’a dit mon collègue, que nous ne sommes pas en mesure de faire des échanges et de collaborer.
Je pense que la première chose, et la plus importante, c’est de comprendre le besoin de données — que les données peuvent être le canari dans la mine de charbon — et que leur transmission au gouvernement fédéral et jusqu’au secteur privé sera un problème. Aux États-Unis, les obstacles juridiques sont énormes. Ils ont encore tout récemment adopté une loi sur le signalement des incidents, mais elle n’entrera pas en vigueur avant au moins deux ans. Nous ne savons pas comment appliquer ces lois. Nous ne savons pas comment analyser ces données. Nous ne savons pas comment échanger les données.
Je pense que la solution du problème fédéral d’échange des données, de collaboration et de partage de l’information est vraiment la première étape pour bien se préparer à la défense. Malheureusement, nous n’en parlons pas assez. Le problème est très grave, mais il faut se demander qui détient les données, qui les analyse, qui les diffuse, pour ensuite procéder à partir de là.
[Français]
M. Rapin : Je vais répondre en français, si vous me le permettez.
Le vice-président : Vous avez encore du temps.
[Traduction]
Le sénateur Yussuff : S’il veut donner des conseils, oui.
[Français]
Le vice-président : Monsieur Rapin, voulez-vous faire un commentaire?
M. Rapin : Pour répondre à votre question, oui.
Je pense que vous avez touché un point très important. Plusieurs infrastructures critiques ne sont pas opérées par des entités fédérales, mais par des entités se trouvant à de plus bas échelons. Par le passé, aux États-Unis, par exemple, des acteurs cyberétrangers ont sondé, si l’on veut, des infrastructures plus régionales ou locales, parce qu’ils présumaient que les entités qui les opèrent auraient moins de ressources, que les infrastructures seraient peut-être moins bien défendues et qu’il y aurait moins d’expertise pour les protéger. C’est une réalité. Les municipalités, par exemple, n’ont pas les mêmes ressources pour assurer la cybersécurité de certaines infrastructures.
Il faut tenir une réflexion à différents niveaux pour s’assurer qu’il n’y a pas des normes très élevées seulement à l’échelle fédérale. On est encore très complaisant aux échelons inférieurs.
[Traduction]
La sénatrice M. Deacon : Monsieur Hodgson, dans votre déclaration préliminaire, vous avez conclu en mentionnant que certaines choses sont en train de se faire et qu’il en est d’autres que nous pouvons reconnaître comme étant faites. J’aimerais revenir à cette réflexion. Si vous poursuiviez dans cette veine en commentant la situation aux États-Unis, quelles sont, selon vous, les lacunes actuelles que nous devons aborder ou combler en premier?
M. Hodgson : Merci.
Je conviens que l’échange de renseignements est un élément clé. L’une des choses que nous avons constatées, cependant, c’est qu’au départ, cet échange est considéré comme un bien immuable. Diffusez le plus d’information possible. Bien sûr, cela crée une vague écrasante d’information où les gens ont beaucoup de mal à s’y retrouver. Des mesures plus récentes ont été prises, c’est-à-dire que le gouvernement des États-Unis essaie d’échanger des renseignements plus facilement exploitables à des niveaux où ils peuvent être confiés à des entités, ce qui a permis de constater une certaine amélioration, et pas seulement en ce qui a trait à la nature de la menace, mais voilà ce qui peut être fait pour régler le problème. En fait, je suis un peu plus optimiste quant aux mesures qui ont été prises pour améliorer ce genre d’échange de renseignements, mais, bien sûr, il s’agit de choses que nous pouvons voir en ce moment.
L’autre aspect sur lequel il faut se concentrer et que je n’ai pas abordé, mais que j’ai préparé, concerne la résilience. Comment pouvons-nous nous veiller à ce que les secteurs des infrastructures essentielles soient prêts lorsque ça ira mal? Et cela arrivera inévitablement. Nous devons travailler sur les plans d’urgence pour nous assurer que nous pouvons échouer la tête haute plutôt que de façon catastrophique.
La sénatrice M. Deacon : Si nous passons de l’échange d’information à l’action, en intervenant littéralement sur le terrain, vous avez parlé des actions de la Russie en Ukraine. Absolument, ils ont lancé des cyberattaques sur des infrastructures essentielles, comme vous l’avez dit plus tôt, mais ils comptaient également sur des armes conventionnelles pour le faire. Je me demande, de votre point de vue, si nous avons tiré des leçons de ce conflit sur la façon dont la cyberguerre sera utilisée dans un conflit conventionnel entre deux États développés comme ceux-là.
M. Hodgson : Je pense qu’elle le sera dans une certaine mesure. De façon générale, lorsqu’il s’agit d’une guerre frontale, le degré de confiance que nous pouvons avoir dans l’utilisation de cybercapacités pour avoir un impact sur les infrastructures essentielles — pour vous dire franchement, du point de vue de la Russie, je suis certain que c’est la même chose — sera manifestement inférieur à celui obtenu par l’action cinétique. Dans ce genre de situation où la cible, disons une infrastructure essentielle comme un réseau électrique, peut être atteinte par des moyens cinétiques, je pense que la plupart des gouvernements en guerre s’y fieront davantage qu’ils ne se fieraient aux cybercapacités. Les cybercapacités seront un accessoire. Ce sera un moyen important pour ces adversaires d’essayer de semer la confusion, d’essayer de comprendre ce que nous planifions et comment nous prévoyons mener les choses.
De plus, si j’étais à leur place, ils voudraient probablement se concentrer davantage sur l’infrastructure de soutien qui se prête davantage à ce genre de choses, comme les systèmes logistiques, les petites et moyennes entreprises qui fournissent des services essentiels aux opérations militaires, mais auxquelles nous ne pensons pas nécessairement. C’est un peu l’équivalent des usines de roulements à billes de la Seconde Guerre mondiale. Quelles sont ces fournitures essentielles? Nous avons vu la même chose pendant la pandémie de COVID-19 avec la mise au point de vaccins et la façon dont les adversaires s’attaquaient aux chaînes d’approvisionnement.
Le sénateur Cardozo : J’aimerais vous poser une question que j’ai posée aux témoins précédents. Puisque deux d’entre vous viennent des États-Unis, j’aimerais savoir ce que vous en pensez. Nous insistons énormément sur la cybermenace venant d’autres pays comme la Chine, la Russie, la Corée du Nord et l’Iran — je ne sais pas si quelqu’un pense à la prochaine série de pays qui constitueront une menace au cours des années à venir —, mais nous ne pensons que très peu à la cybermenace venant de l’intérieur. Pensez-vous aux acteurs malveillants au Canada et, surtout, en Amérique du Nord, à certaines forces qui sont très en colère au sujet de la façon dont nos pays sont gérés et qui cherchent à y réagir de façon plus extrémiste que jamais? Avez-vous des préoccupations au sujet des cybermenaces nationales ou nord-américaines? J’aimerais vous entendre tous les trois à ce sujet, si possible.
M. Valeriano : Oui, bien sûr. J’ai été particulièrement ravi de constater que la nouvelle stratégie nationale en cybersécurité de M. Biden mentionnait les criminels comme le cinquième acteur majeur et qu’il ne s’agissait pas seulement de la Russie, de la Chine, de la Corée du Nord et de l’Iran. Nous devons cesser, dans cette collectivité, de tout mettre sur le dos des quatre grands. En fait, je pense qu’il vaudrait mieux que nous comprenions les relations des États cibles et ce qu’ils font ou ne font pas pour se préparer à contrer ces menaces.
En ce qui concerne les menaces d’origine nationale et qui se produisent à l’interne, elles ont toujours été omniprésentes et ne disparaîtront jamais. En fait, c’est peut-être la menace la plus pernicieuse. Mais, vraiment, je m’inquiète quant à moi de la menace que l’État peut faire à la personne. Qu’adviendra-t-il sur le plan de la répression, comme nous l’avons vu avec Pegasus et ce que le Citizen Lab a découvert? Ce sera l’élément le plus important à l’avenir. Il ne s’agit pas tant de ce que ces extrémistes de droite peuvent faire à l’État que de ce qui peut arriver lorsque d’autres États ciblent ce qu’ils considèrent comme des extrémistes travaillant sur place — des dissidents et des communautés de la diaspora. Ce sont les principaux objectifs pour l’avenir, et c’est ce qui m’inquiète vraiment.
[Français]
M. Rapin : Je fais face à un problème méthodologique : notre base de données est pensée pour se concentrer sur les incidents provenant de l’extérieur. On n’a pas le réflexe d’examiner ce qui pourrait provenir du Canada. Ce qui est sûr, sur le terrain de l’information et de la désinformation qui est prévalent sur certaines théories du complot qui circulent beaucoup au Canada et qui peuvent être des facteurs déstabilisants, c’est que, bien souvent, ces discours proviennent de nos voisins du Sud. Ce sont des narratifs conçus et démocratisés par des forces politiques présentes chez nos voisins du Sud. Bien sûr, ce potentiel d’émulation et de dissémination des narratifs « dangereux » est une chose à laquelle on doit songer.
[Traduction]
Le sénateur Cardozo : Monsieur Hodgson, qu’en pensez-vous?
M. Hodgson : C’est aussi un défi, la menace interne, comme vous l’avez mentionné. L’un des éléments clés, dont nous avons parlé, est le rançongiciel. On assiste de plus en plus à la banalisation de certains de ces outils rudimentaires qui pourraient être très perturbateurs. Je suis d’accord avec M. Valeriano pour dire que nous devons bien réfléchir avant d’utiliser des outils qui deviennent trop répressifs ou qui finissent par traiter tout le monde comme d’éventuels auteurs de cyberincidents.
Un autre élément que nous avons également découvert dans le domaine de la cybersécurité, c’est que plus les contrôles que nous essayons d’imposer à l’utilisateur sont onéreux, plus on s’efforcera de trouver un moyen de les contourner. Ce ne sera pas forcément malveillant, mais il peut y avoir des répercussions négatives.
Nous avons vu des rançongiciels — qui, pour être honnête, à la base, ne sont pas un outil terriblement sophistiqué qui exploite souvent des vulnérabilités très fondamentales, y compris des vulnérabilités humaines comme la crainte de manquer l’occasion, le fait de cliquer sur un lien et ainsi de suite — qui peuvent mener à des actions assez perturbatrices. Il y a de la technologie, mais il y a aussi des mesures éducatives et organisationnelles qui doivent être prises pour essayer d’améliorer la situation en matière de cybersécurité. Comme je l’ai déjà dit, comment peut-on améliorer la résilience de ces organisations pour éviter qu’un simple clic mène à la fermeture d’un hôpital pendant toute une semaine?
Le sénateur Cardozo : Merci.
La sénatrice Dasko : MM. Valeriano et Hodgson ont parlé à quelques reprises de l’élaboration de normes. Les deux ont parlé de normes dans leurs exposés, et d’autres l’ont mentionné plus tôt aujourd’hui. Si les ministères eux-mêmes ne peuvent s’organiser, comment pouvons-nous élaborer des normes? Qui participerait à l’élaboration des normes? J’aimerais savoir ce que vous en pensez. Est-ce faisable? Est-ce la façon de régler certains problèmes dans ce domaine? À qui les normes s’appliqueraient-elles? Qu’est-ce que cela impliquerait? L’élaboration de normes remplace-t-elle un cadre réglementaire ou des lois? N’importe lequel des témoins peut commenter le concept parce qu’il a été soulevé à plusieurs reprises.
M. Valeriano : C’est une question intéressante et importante qui suscite beaucoup de recherches. Nous avons un vaste système de normes dans la communauté internationale, mais comme je l’ai mentionné, il n’y a pas beaucoup de règles pratiques. C’est pourquoi les normes et les règlements vont de pair avec les règles pratiques et le droit international. Pour que les normes fonctionnent, nous avons besoin d’entrepreneurs bien établis dans le système. Les normes élaborées aux Nations unies sont progressistes, mais il y a aussi eu de nombreuses tentatives d’empêcher leur élaboration, en particulier par la Russie. Pour des États comme le Canada, particulièrement à l’heure actuelle, puisque Singapour est responsable du groupe de travail à composition non limitée, ce sont des moments importants pour intervenir et énoncer le genre de normes que nous voulons pour faire régner la primauté du droit. Quant à la nature de ces normes et à la façon dont nous les appliquerons, ce sont des questions ouvertes. La première étape consiste à élaborer un solide régime de normes et de règlements pour aller de l’avant.
[Français]
Le vice-président : Avant de passer au deuxième tour, j’ai une question pour M. Valeriano. J’ai déjà posé la question à d’autres témoins. À cause de notre proximité avec les États-Unis, est-ce que le Canada pourrait servir de base informatique pour des cybercriminels visant les Américains?
[Traduction]
M. Valeriano : Bien sûr, je pense que n’importe qui peut le faire. De toute évidence, la situation s’étend très profondément en Amérique latine en ce moment, alors tout le monde doit être prêt. Tout le monde peut être une victime. Le Canada fait face à un défi particulier, non seulement de la part des criminels, mais aussi de la part de la Chine. Il y a des inquiétudes évidentes dans cet espace national. Il y a des choses que vous devez faire pour renforcer vos défenses.
[Français]
Le vice-président : Monsieur Hodgson, on peut penser que les centrales électriques, les réserves d’eau potable et nos banques de données peuvent devenir des cibles de choix. Si l’on veut perturber les activités d’un pays, comme on l’a vu en Ukraine, on s’attaque à des centrales électriques. Est-ce qu’on a des indices sur les intérêts d’autres pays où des cybercriminels pourraient s’attaquer à ces infrastructures?
[Traduction]
M. Hodgson : Il est difficile de comprendre les motivations possibles. Pour revenir à ce que je disais au sujet de la déclaration ou de la valeur soi-disant dissuasive des déclarations, lorsqu’ils se sont réunis à Genève il y a quelque temps, le président Biden a déclaré au président Poutine que des attaques contre les infrastructures essentielles ne seraient pas tolérées. Pour un État-nation, même un État comme la Russie qui se livre à des actes effroyables en Ukraine, je pense qu’il comprend que les enjeux deviennent beaucoup plus élevés s’il cherche à détruire des infrastructures essentielles. Nous avons vu beaucoup d’exploration des réseaux pour en comprendre l’intérêt et voler la propriété intellectuelle. Dans certains cas, il n’est pas clair quelles sont les intentions réelles derrière ces gestes, d’où l’importance de faire valoir pourquoi nous les trouvons inappropriés.
Pour revenir à la question précédente sur les normes, il est très important que la communauté internationale se réunisse pour exprimer ce qu’elle considère comme un comportement inapproprié, comme ce fut le cas avec l’exploitation chinoise des vulnérabilités du serveur Microsoft Exchange en 2021. L’OTAN, l’Union européenne, les États-Unis, le Canada et le Royaume‑Uni ont tous publié des déclarations visant à recenser et à dénoncer les auteurs du crime. Ils ont fait remarquer qu’ils trouvaient que c’était non seulement inapproprié, mais aussi injustifié, un comportement vraiment inacceptable. Est-ce que cela va empêcher que ça se reproduise? Non, je ne le crois pas, mais cela montre qu’il y a une volonté. Les normes s’appliquent au geste, et pas seulement à la parole.
[Français]
Le sénateur Boisvenu : Ma question s’adresse à M. Valeriano. Hier, La Presse a fait paraître un article fondamental dont le titre était « Mille secrets, mille dangers », qui citait d’ailleurs le témoin précédent. Ce que l’article nous dit, c’est que la stratégie de base du gouvernement chinois, c’est la cueillette d’information. D’ailleurs, la Chine a adopté en 2017 une loi qui oblige les citoyens chinois, peu importe où ils sont dans le monde, à recueillir de l’information pour le gouvernement chinois, afin d’améliorer sa compétence pour ce qui est de percer des systèmes informatiques ou des systèmes politiques.
Mon collègue vous a posé la question plus tôt : est-ce que le Canada est vulnérable sur ce point face aux États-Unis? Les experts disent que le maillon faible dans la protection cybernétique en Amérique du Nord, c’est le Canada, parce qu’il est facile d’y pénétrer. C’est beaucoup plus facile que d’aller en Chine pour y chercher de l’information.
Pour les États-Unis, qui ont des systèmes très importants sur le plan de la protection nord-américaine, entre autres, cette situation fait en sorte que le Canada est le maillon faible. Est-ce que cela préoccupe beaucoup les Américains?
[Traduction]
M. Valeriano : Je ne dirais pas que c’est une préoccupation; je crois que c’est une réalité. Je crois que tout le monde est au courant. Il est manifeste que la Chine essaie de recueillir le plus de données possible. Le défi, c’est ce qu’elle va faire avec ces données. Nous savons depuis longtemps que la Chine a balayé les données du bureau de gestion du personnel américain. Elle a balayé les données des passeports détenus par la chaîne Marriott. Elle a balayé diverses données des compagnies aériennes. Dans quel but? Je travaille constamment avec des données d’apprentissage automatique recueillies par des systèmes d’intelligence artificielle. Je peux vous dire qu’il est très difficile d’analyser et de produire des renseignements exploitables à partir de ces données. Nous sommes conscients de ce problème. Je pense que nous devons tirer parti des données à nos propres fins. Nous devons utiliser les données de façon proactive pour défendre la nation.
[Français]
Le sénateur Boisvenu : Comme on sait qu’il est beaucoup plus facile pour des espions chinois de résider en Amérique, que ce soit au Canada ou aux États-Unis, et qu’il est beaucoup plus difficile pour nous d’aller en Chine pour espionner ce système communiste qui exerce un contrôle omniprésent sur ses citoyens, quelle stratégie faut-il adopter par rapport à ces menaces que sont la Chine ou la Russie, mais surtout la Chine?
[Traduction]
M. Valeriano : Oui. Je pense que c’est un défi réaliste à l’heure actuelle. Je sais que nous ne sommes pas très bons pour ce qui est du travail et des perceptions des adversaires et que nous nous inquiétons beaucoup de ce qu’ils attaquent, mais pas tellement de ce qu’ils développent et de la façon dont les choses se font dans leur propre État. Je pense que c’est un angle mort. C’est une faiblesse. Nous pensons beaucoup au cyberrenseignement, mais pas pour comprendre le comportement de l’opposition. Je pense que l’aspect comportemental de la cybersécurité est l’un des défis majeurs que nous ayons à l’heure actuelle et que beaucoup de gens, surtout des universitaires, n’arrivent pas à relever.
Le sénateur Yussuff : L’attitude du public à l’égard de la cybersécurité évolue. Ce n’est pas nouveau, mais les gens s’aperçoivent de plus en plus de la gravité de la situation. À mon avis, nous avons encore beaucoup de chemin à faire. Vous avez parlé tout à l’heure de l’échange de renseignements. On ne peut pas savoir ce que l’on ne sait pas. On ne peut pas vraiment amener le public à se sentir outré ou en colère à l’égard de quelque chose qui se passe à son insu. Étant donné que la plupart des cyberattaques se produisent également au sein des entreprises privées, certaines d’entre elles nous le disent quand nos données sont compromises, mais si elles ne le sont pas, elles ne nous en parlent pas; c’est la réalité.
Dans le contexte, monsieur Valeriano, des États-Unis et de la loi qui a été adoptée pour essayer de recueillir ces renseignements et de les communiquer, dans quelle mesure cela servira-t-il selon vous à changer les attitudes du public afin que les gouvernements et nos représentants élus puissent redoubler leurs efforts en matière de cybersécurité et, par la même occasion, faire en sorte que les efforts du reste du pays soient plus robustes eux aussi?
M. Valeriano : Je pense que ce serait extrêmement important. Nous avons beaucoup d’expressions populaires sur la cybersécurité, et la plus répandue est que si vous n’avez pas été piraté, vous êtes sur le point de l’être. Rien ne le prouve. Il n’y a aucune preuve pour la plupart des statistiques dont nous disposons en matière de cybersécurité. Il n’y a pas le moindre fondement probant pour beaucoup de choses qui sont dites dans le domaine de la cybersécurité.
Récemment, le gouvernement des États-Unis a dit qu’il voulait mettre au point une sorte de système d’avertissement codé par couleur pour les cyberattaques, un peu comme nous l’avons fait à l’époque du département de la Sécurité intérieure et de l’ère du terrorisme qui a débuté le 11 septembre. Je ne suis pas sûr que cela ait été efficace. Mais en élaborant des façons plus concrètes de démontrer au public que nous avons un problème, qu’il y a un bouleversement sismique, et en réfléchissant aux avertisseurs de tremblement de terre que nous avons aux États-Unis, je pense que c’est quelque chose de très important. Israël est passé à un système de ligne directe. On n’obtiendra pas beaucoup de données exploitables d’un service d’assistance téléphonique et de citoyens ordinaires qui signalent des cyberattaques, mais on commencera à déceler des tendances. On commencera à voir des vagues. Je crois que nous n’avons même pas encore commencé à explorer ce que nous pouvons faire avec les données et à renseigner et mobiliser le public pour l’avenir.
M. Hodgson : Un des aspects qui nous posent problème, c’est que même lorsque des cyberattaques sont signalées, cela ne semble pas avoir d’incidence importante sur la plupart des gens. Lorsque votre identité est volée et que vous devez passer par le processus pénible de ressusciter votre identité, fermer des comptes et les rouvrir, c’est assez puissant, mais c’est ressenti au niveau individuel. M. Valeriano a mentionné quelques incidents. Même si des millions de dossiers ont été touchés, les conséquences réelles de ces cyberattaques ne sont pas claires. Plus récemment, lorsqu’on a constaté les résultats d’un rançongiciel comme celui qui a été lancé contre Colonial Pipeline, les gens se sont quelque peu sensibilisés. Cela dit, quand on n’est pas personnellement touché par le problème, il est très difficile de motiver les gens à s’y attaquer. Franchement, il peut être extrêmement ésotérique et technique pour la plupart des gens de comprendre ce qu’ils doivent faire.
Je vois que vous avez un téléphone sur votre bureau. Combien de personnes comprennent vraiment comment fonctionne ce téléphone? Ils ne le savent pas, mais ils savent comment l’utiliser. Lorsqu’on leur parle des vulnérabilités en matière de sécurité, je crois que ça ne veut rien dire pour 99,44 % des gens.
[Français]
Le vice-président : Avant de conclure la réunion, j’aurais une question pour M. Rapin que j’ai posée précédemment aux autres témoins.
Dans cette lutte aux cybercriminels, sommes-nous condamnés à être toujours sur la défensive, ou pouvons-nous espérer un jour faire des arrestations et mettre des cybercriminels en accusation?
M. Rapin : Premièrement, je ne sais pas à quel point on peut dire que le Canada est uniquement sur la défensive dans la mesure où, si ma mémoire est bonne, à la fin de 2021, le Centre de la sécurité des télécommunications a dit qu’il avait mené une opération offensive contre un groupe cybercriminel. C’est la première fois qu’on avait connaissance d’un tel événement au Canada. Il y a donc des actions proactives de la part du Canada.
Sur l’aspect judiciaire, c’est quelque chose que les États-Unis font de plus en plus. On voit de plus en plus d’inculpations extrêmement publiques de la part du FBI, avec parfois les photos des personnes identifiées et recherchées. À la fin de 2022, la justice américaine a condamné pour la première fois un pirate informatique lié au renseignement chinois qu’ils ont réussi à faire arrêter en Belgique, à extrader aux États-Unis et à traduire en justice. On voit donc que ce sont des choses qui... Cela peut fonctionner dans un cas par rapport à plusieurs autres, mais on voit que ces démarches peuvent parfois aboutir. C’est quelque chose que le Canada devrait envisager de faire un peu plus intensément, soit de sa propre initiative, soit en collaborant avec les États-Unis pour faire des inculpations conjointes. Je pense que ce sont des pistes qu’il faut explorer.
Le vice-président : Cela nous amène à la fin de notre réunion. Je tiens à remercier sincèrement MM. Valeriano, Rapin et Hodgson, ainsi que tous nos témoins aujourd’hui.
Ces discussions sont extrêmement importantes et nous vous sommes reconnaissants d’y avoir participé. Je vous remercie encore une fois.
Notre prochaine réunion aura lieu lundi prochain, le 27 mars, à l’heure habituelle, soit 16 heures (heure de l’Est). Je vous remercie et je vous souhaite une excellente soirée.
(La séance est levée.)