La stratégie de cybersécurité du Canada doit être modernisée : Sénatrice Jaffer
Étiquettes
Il est plus que temps que le Canada renouvelle sa politique sur la cybersécurité. Cependant, bien que Sécurité publique Canada ait terminé, en janvier dernier, des mois de consultations publiques sur la cybersécurité, le gouvernement n’y a pas toujours pas donné suite.
Au cours de l’été, deux des cyberattaques les plus destructrices de la décennie ont eu lieu : celles par WannaCry et Petya. Lors de ces deux cyberattaques, des services essentiels tels que le Service national de la santé du Royaume-Uni, le ministère de l’Intérieur de la Russie et le système de surveillance des radiations de Tchernobyl ont tous été détenus contre rançon par des pirates informatiques.
Pire, nous savons que des pirates partout sur la planète compromettent d’importants systèmes afin de réaliser des profits, notamment en vendant leur accès au plus offrant dans le Web invisible (Darknet). Par exemple, le CMarket, un des plus importants marchés du Darknet, a vendu l’accès aux bases de données de l’OTAN, compromettant ainsi des renseignements sur des fonctionnaires du monde entier, et donnant ainsi accès à des infrastructures essentielles, par exemple des réseaux électriques.
L’idée que les acteurs du crime organisé et des États étrangers volent et vendent l’accès aux systèmes dont nous dépendons dans notre vie quotidienne devrait inquiéter les Canadiens. Les infrastructures essentielles que ces pirates ciblent jouent plusieurs rôles importants, dont ceux d’assurer le fonctionnement de nos réseaux électriques, de maintenir nos systèmes de télécommunication en ligne et d’empêcher nos barrages de déborder, parmi tant d’autres. La disparition d’infrastructures essentielles sous une forme ou une autre pourrait entraîner la perte d’un grand nombre de vies.
Malgré les menaces imminentes que les cyberattaques constituent pour ces infrastructures, le Canada prend du retard sur ses alliés en matière de cybersécurité. En fait, sa stratégie nationale sur la cybersécurité est demeurée inchangée depuis sept ans, et ce, malgré le fait que la menace qui pèse sur le plan des cyberattaques a considérablement évoluée depuis. Ainsi, le Canada est maintenant extrêmement vulnérable aux cyberattaques.
Par exemple, le secteur privé du Canada est tombé loin derrière les autres en ce qui concerne ses efforts en vue de moderniser ses moyens de défense contre la menace grandissante des cyberattaques, et ce, bien qu’il soit propriétaire d’une bonne partie des infrastructures du Canada. Selon un sondage mené par Deloitte, seulement 9 % des organismes canadiens peuvent être considérés comme très bien protégés contre les cyberattaques, et, pour empirer les choses, 68 % d’entre eux ne disposent pas d’un plan de continuité efficace en cas de cyberattaques réussies.
Cela s’explique par le fait que notre gouvernement offre au secteur privé bien peu de mesures incitatives et de financement pour lui permettre d’améliorer sa protection. Par conséquent, de nombreuses entreprises décident simplement de ne pas avoir recours à des moyens de défense de cybersécurité appropriés car elles considèrent que ceux-ci sont coûteux et qu’ils sont défavorable à leur santé financière.
Le contraste entre la situation au Canada et dans le reste du monde ne pourrait être plus clair.
Les États-Unis, le Royaume-Uni et l’Australie ont tous récemment modernisé leur stratégie en matière de cybersécurité, avec des budgets s’élevant à des milliards de dollars, et ils établissent de solides relations avec le secteur privé pour protéger aussi leurs systèmes.
Pendant ce temps, le premier budget du gouvernement Trudeau prévoyait seulement 77,4 millions de dollars pour la cybersécurité, et on s’attend à ce que celui-ci n’y consacre qu’à peine 27 millions d’ici 2019. Si le Canada veut sérieusement se protéger contre la menace de cyberattaques qui pèse sur lui, il doit créer une nouvelle stratégie qui permettra de resserrer les relations avec le secteur privé et d’y allouer les fonds nécessaires.
Cela dit, la plus grande vulnérabilité du Canada est sa population. Ceux qui exploitent nos infrastructures essentielles et qui accèdent chaque jour à des renseignements confidentiels ne reçoivent pas de formation adéquate. Nos programmes publics de littératie numérique sont désuets et ne renseignent tout simplement pas les Canadiens sur la façon de procéder pour traiter les menaces en constante évolution qu’ils peuvent subir lorsqu’ils sont en ligne.
Plusieurs pratiques qui risquent de compromettre nos systèmes se sont donc répandues au Canada. Par exemple, un Canadien sur trois ne modifie pas ses mots de passe et utilise souvent le même pour différents comptes. De plus, la plupart des Canadiens ne savent pas comment signaler des incidents de cybercriminalité.
Il s’agit de l’un des enjeux les plus urgents dont on doit tenir compte lors du renouvellement de la stratégie sur la cybersécurité. Les mesures de protection contre les cyberattaques deviennent vite inutiles si des personnes sans méfiance aident involontairement les pirates à les contourner. Il incombe au gouvernement de veiller à ce que les Canadiens comprennent la menace que représentent les cyberattaques.
Lorsque Sécurité publique Canada a terminé ses consultations sur la cybersécurité, beaucoup de gens espéraient que cela mènerait à la création d’une nouvelle stratégie de cyberdéfense.
De plus, pendant les consultations, le gouvernement a reçu des réponses de 2 399 personnes, un nombre impressionnant. Celles-ci ont expliqué ce que serait, selon elles, la meilleure façon de moderniser la politique de cybersécurité du Canada, ce qui a donné lieu à un rapport final qui présentait des recommandations applaudies par les spécialistes du domaine.
Malheureusement, le gouvernement n’a toujours pas discuté de la mise à jour de sa stratégie de cybersécurité. Cela est tout simplement inacceptable. S’il ne modernise pas sa stratégie, le Canada pourrait facilement être victime de la prochaine cyberattaque d’envergure.
Il faut agir maintenant.
La sénatrice Mobina Jaffer représente la Colombie-Britannique. Elle est vice-présidente du Comité sénatorial de la sécurité nationale et de la défense, et présidente du Sous-comité sénatorial des anciens combattants.
Cet article a été publié le 11 septembre 2017 dans le journal the Hill Times (en anglais seulement).
Il est plus que temps que le Canada renouvelle sa politique sur la cybersécurité. Cependant, bien que Sécurité publique Canada ait terminé, en janvier dernier, des mois de consultations publiques sur la cybersécurité, le gouvernement n’y a pas toujours pas donné suite.
Au cours de l’été, deux des cyberattaques les plus destructrices de la décennie ont eu lieu : celles par WannaCry et Petya. Lors de ces deux cyberattaques, des services essentiels tels que le Service national de la santé du Royaume-Uni, le ministère de l’Intérieur de la Russie et le système de surveillance des radiations de Tchernobyl ont tous été détenus contre rançon par des pirates informatiques.
Pire, nous savons que des pirates partout sur la planète compromettent d’importants systèmes afin de réaliser des profits, notamment en vendant leur accès au plus offrant dans le Web invisible (Darknet). Par exemple, le CMarket, un des plus importants marchés du Darknet, a vendu l’accès aux bases de données de l’OTAN, compromettant ainsi des renseignements sur des fonctionnaires du monde entier, et donnant ainsi accès à des infrastructures essentielles, par exemple des réseaux électriques.
L’idée que les acteurs du crime organisé et des États étrangers volent et vendent l’accès aux systèmes dont nous dépendons dans notre vie quotidienne devrait inquiéter les Canadiens. Les infrastructures essentielles que ces pirates ciblent jouent plusieurs rôles importants, dont ceux d’assurer le fonctionnement de nos réseaux électriques, de maintenir nos systèmes de télécommunication en ligne et d’empêcher nos barrages de déborder, parmi tant d’autres. La disparition d’infrastructures essentielles sous une forme ou une autre pourrait entraîner la perte d’un grand nombre de vies.
Malgré les menaces imminentes que les cyberattaques constituent pour ces infrastructures, le Canada prend du retard sur ses alliés en matière de cybersécurité. En fait, sa stratégie nationale sur la cybersécurité est demeurée inchangée depuis sept ans, et ce, malgré le fait que la menace qui pèse sur le plan des cyberattaques a considérablement évoluée depuis. Ainsi, le Canada est maintenant extrêmement vulnérable aux cyberattaques.
Par exemple, le secteur privé du Canada est tombé loin derrière les autres en ce qui concerne ses efforts en vue de moderniser ses moyens de défense contre la menace grandissante des cyberattaques, et ce, bien qu’il soit propriétaire d’une bonne partie des infrastructures du Canada. Selon un sondage mené par Deloitte, seulement 9 % des organismes canadiens peuvent être considérés comme très bien protégés contre les cyberattaques, et, pour empirer les choses, 68 % d’entre eux ne disposent pas d’un plan de continuité efficace en cas de cyberattaques réussies.
Cela s’explique par le fait que notre gouvernement offre au secteur privé bien peu de mesures incitatives et de financement pour lui permettre d’améliorer sa protection. Par conséquent, de nombreuses entreprises décident simplement de ne pas avoir recours à des moyens de défense de cybersécurité appropriés car elles considèrent que ceux-ci sont coûteux et qu’ils sont défavorable à leur santé financière.
Le contraste entre la situation au Canada et dans le reste du monde ne pourrait être plus clair.
Les États-Unis, le Royaume-Uni et l’Australie ont tous récemment modernisé leur stratégie en matière de cybersécurité, avec des budgets s’élevant à des milliards de dollars, et ils établissent de solides relations avec le secteur privé pour protéger aussi leurs systèmes.
Pendant ce temps, le premier budget du gouvernement Trudeau prévoyait seulement 77,4 millions de dollars pour la cybersécurité, et on s’attend à ce que celui-ci n’y consacre qu’à peine 27 millions d’ici 2019. Si le Canada veut sérieusement se protéger contre la menace de cyberattaques qui pèse sur lui, il doit créer une nouvelle stratégie qui permettra de resserrer les relations avec le secteur privé et d’y allouer les fonds nécessaires.
Cela dit, la plus grande vulnérabilité du Canada est sa population. Ceux qui exploitent nos infrastructures essentielles et qui accèdent chaque jour à des renseignements confidentiels ne reçoivent pas de formation adéquate. Nos programmes publics de littératie numérique sont désuets et ne renseignent tout simplement pas les Canadiens sur la façon de procéder pour traiter les menaces en constante évolution qu’ils peuvent subir lorsqu’ils sont en ligne.
Plusieurs pratiques qui risquent de compromettre nos systèmes se sont donc répandues au Canada. Par exemple, un Canadien sur trois ne modifie pas ses mots de passe et utilise souvent le même pour différents comptes. De plus, la plupart des Canadiens ne savent pas comment signaler des incidents de cybercriminalité.
Il s’agit de l’un des enjeux les plus urgents dont on doit tenir compte lors du renouvellement de la stratégie sur la cybersécurité. Les mesures de protection contre les cyberattaques deviennent vite inutiles si des personnes sans méfiance aident involontairement les pirates à les contourner. Il incombe au gouvernement de veiller à ce que les Canadiens comprennent la menace que représentent les cyberattaques.
Lorsque Sécurité publique Canada a terminé ses consultations sur la cybersécurité, beaucoup de gens espéraient que cela mènerait à la création d’une nouvelle stratégie de cyberdéfense.
De plus, pendant les consultations, le gouvernement a reçu des réponses de 2 399 personnes, un nombre impressionnant. Celles-ci ont expliqué ce que serait, selon elles, la meilleure façon de moderniser la politique de cybersécurité du Canada, ce qui a donné lieu à un rapport final qui présentait des recommandations applaudies par les spécialistes du domaine.
Malheureusement, le gouvernement n’a toujours pas discuté de la mise à jour de sa stratégie de cybersécurité. Cela est tout simplement inacceptable. S’il ne modernise pas sa stratégie, le Canada pourrait facilement être victime de la prochaine cyberattaque d’envergure.
Il faut agir maintenant.
La sénatrice Mobina Jaffer représente la Colombie-Britannique. Elle est vice-présidente du Comité sénatorial de la sécurité nationale et de la défense, et présidente du Sous-comité sénatorial des anciens combattants.
Cet article a été publié le 11 septembre 2017 dans le journal the Hill Times (en anglais seulement).