Un rapport publié par le Sénat canadien le 29 octobre dernier 2018[1] intitulé : Les cyberattaques devraient vous empêcher de fermer l’œil sonne l’alarme sur l’état de la cybersécurité au Canada, et préconise la création d’un nouveau ministère fédéral pour lutter contre les cyberattaques.
Le rapport, dont la publication était à l’origine prévue pour le mois de juin, mais reportée à l’automne, fait suite à une année d’audiences comportant des témoignages d’intervenants public et privé tels que Sécurité publique Canada, le Centre de la sécurité des télécommunications Canada et le Service canadien du renseignement de sécurité, la Banque du Canada, MasterCard et l’Association des banquiers canadiens.
Le Comité présente d’abord des faits soulignant la nature colossale du problème, faisant étant de récentes violations de la confidentialité touchant des dizaines de milliers de Canadiens, et, dans certains cas, compromettant les données de près de 2 millions de Canadiens [2] et plaçant aussi les 10 millions de Canadiens affectés par les diverses violations dans le contexte mondial de 978 millions de victimes de cybercrime [3]. Les personnes qui ont comparu devant le Comité ont fait valoir que « les consommateurs du Canada n’ont en général que peu de recours contre le vol de leurs renseignements personnels » et que la Gendarmerie royale du Canada « n’a peut-être pas les capacités nécessaires pour entreprendre de nouvelles enquêtes sur les cybermenaces importantes » [4].
Le bref rapport du Comité établit les volets d’une nouvelle stratégie pour combattre cette menace croissante, dont la sensibilisation des consommateurs aux menaces posées par l’Internet des objets, l’aide aux entreprises et leur conformité aux lois sur la protection de la confidentialité ainsi que l’amélioration de la stratégie en matière de cybersécurité du Canada. Les recommandations particulières du Comité méritent d’être présentées en détail [5] :
RECOMMANDATION no 1 :
Tous les ordres de gouvernement mettent l’accent sur l’éducation quant à la cybersécurité dans leurs stratégies de cybersécurité. Pour ce faire, le gouvernement fédéral devrait soutenir et financer :
- Des programmes de formation aux techniques de cybersécurité, en collaboration avec les provinces, les territoires et les municipalités, pour aider les entreprises à répondre à leurs besoins en matière de cybersécurité;
- Trois centres nationaux d’excellence en recherche sur la cybersécurité, afin de promouvoir la recherche fondamentale en science de la cybersécurité dans les universités et d’encourager les Canadiens à poursuivre des études et à faire carrière dans des domaines relatifs à la cybersécurité, ce qui pourrait permettre de doubler le nombre de diplômés possédant une expertise en la matière dans les quatre prochaines années; et
- Un programme national de cyberlittératie, dirigé par le Centre canadien pour la cybersécurité, qui viserait à éduquer les consommateurs et les entreprises sur la façon d’adopter des comportements cyberrésilients. Ce programme devrait favoriser la sensibilisation à l’importance de la cybersécurité dans les écoles de premier et de deuxième cycles du secondaire et encourager la poursuite des études en sciences, en technologies, en ingénierie et en mathématiques.
RECOMMANDATION no 2 :
Le gouvernement fédéral élabore des normes pour protéger les consommateurs, les entreprises et les gouvernements contre les menaces liées aux appareils qui appartiennent à l’univers des objets connectés.
RECOMMANDATION no 3 :
Le gouvernement fédéral définisse un cadre national pour l’échange rapide et souple d’information sur la cybersécurité et procède aux ajustements législatifs qui seraient requis à la Loi sur la protection des renseignements personnels et à la Loi sur la protection des renseignements personnels et les documents électroniques afin de permettre l’échange d’information sur les cybermenaces entre des entreprises privées et entre le secteur privé, le gouvernement et les organisations internationales pertinentes.
RECOMMANDATION no 4 :
Le gouvernement fédéral repère les éventuelles lacunes pouvant nuire à l’échange d’information et qu’il détermine la façon dont les organismes d’application de la loi peuvent être dotés des outils nécessaires au partage actif et rapide d’information et collaborer avec les autres administrations pour poursuivre les cybercriminels.
RECOMMANDATION no 5 :
Le gouvernement fédéral élabore un ensemble cohérent de normes de haut niveau en matière de cybersécurité qui seraient harmonisées avec les normes internationales les plus élevées et qui s’appliqueraient à toutes les entités des secteurs d’infrastructures essentielles.
RECOMMANDATION no 6 :
Le gouvernement fédéral offre des incitatifs aux entreprises, en particulier à celles œuvrant dans les secteurs des infrastructures essentielles, pour qu’elles puissent améliorer leurs pratiques en matière de cybersécurité, notamment en leur accordant des déductions pour amortissement accéléré pour les investissements dans la cybersécurité au titre de la Loi de l’impôt sur le revenu.
RECOMMANDATION no 7 :
Le gouvernement fédéral modernise les lois canadiennes sur la protection des renseignements personnels afin de tenir compte des préoccupations émergentes en matière de cybersécurité et des normes internationales. Il devrait fournir au Commissariat à la protection de la vie privée de nouvelles ressources pour lui permettre de s’acquitter de son mandat, et conférer au commissaire le pouvoir de rendre des ordonnances et d’imposer des amendes aux entreprises qui ne prennent pas les mesures adéquates pour protéger les renseignements de leurs clients.
RECOMMANDATION no 8 :
Le gouvernement fédéral crée un nouveau ministère fédéral de la cybersécurité, qui serait responsable de la politique en matière de cybersécurité, dont la stratégie nationale en matière de cybersécurité, et superviserait le nouveau Centre canadien pour la cybersécurité (« CCCS ») et l’Unité nationale de coordination de la lutte contre la cybercriminalité.
D’ici à ce qu’un tel ministère soit créé, la personne désignée comme étant le chef de file du gouvernement fédéral en cybersécurité devrait relever directement du premier ministre sur les questions en la matière.
Enfin, le premier ministre devrait déposer chaque année devant le Parlement un rapport sur les questions relatives à la stratégie de cybersécurité du Canada.
RECOMMANDATION no 9 :
Le gouvernement fédéral crée un groupe fédéral d’experts sur la cybersécurité chargé de formuler des recommandations pour la stratégie nationale de cybersécurité qui feraient du Canada un chef de file mondial en cybersécurité.
RECOMMANDATION no 10 :
Le gouvernement fédéral enjoigne à ses ministères et à ses organismes de déclarer les atteintes à la vie privée au Commissariat à la protection de la vie privée;
et
Le gouvernement fédéral continue de mettre en œuvre des pratiques exemplaires à l’intention de la fonction publique fédérale pour garantir l’utilisation de dispositifs sécurisés empêchant la divulgation de renseignements de nature délicate.
[Accentuation ajoutée.]
Ce rapport survient quelques mois seulement après l’annonce d’une nouvelle super stratégie fédérale en matière de cybersécurité, et à peine quelques semaines après le lancement du nouveau Centre canadien de cybersécurité [6] dont il est question tout au long du rapport. Ce dernier a déjà entamé son mandat de sensibilisation auprès du public sur les cyberrisques, comme énoncé dans la Recommandation no 1, et a conclu également une entente avec l’Échange canadien de menaces cybernétiques pour faciliter un certain niveau de partage public-privé d’information sur des menaces tel qu’établi dans la Recommandation no 3.
Il sera intéressant de voir avec quelle rapidité et dans quelle mesure le rapport sera adopté par les intervenants du secteur privé du gouvernement fédéral.
[1] Sénat Canada, Rapport du Comité sénatorial permanent des banques et du commerce, Les cyber.attaques : elles devraient vous empêcher de fermer l’œil (Ottawa : 29 octobre 2018), en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf.
[2] Sénat Canada, Rapport du Comité sénatorial permanent des banques et du commerce, Les cyber.attaques : elles devraient vous empêcher de fermer l’œil (Ottawa : 29 octobre 2018), p.9, en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf.
[3] Sénat Canada, Rapport du Comité sénatorial permanent des banques et du commerce, Les cyber.attaques : elles devraient vous empêcher de fermer l’œil (Ottawa : 29 octobre 2018), p.10, en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf.
[4] Sénat Canada, Rapport du Comité sénatorial permanent des banques et du commerce, Les cyber.attaques : elles devraient vous empêcher de fermer l’œil (Ottawa : 29 octobre 2018), p.11, en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf.
[5] Sénat Canada, Rapport du Comité sénatorial permanent des banques et du commerce, Les cyber.attaques : elles devraient vous empêcher de fermer l’œil (Ottawa : 29 octobre 2018), p. 6 à 10, en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf
[6] Pour en savoir davantage sur ces développements, voir Brent J. Arnold, « Le Centre canadien pour la cybersécurité : 2018 marque un nouveau départ pour le Canada en la matière (article en anglais) » (11 octobre 2018) en ligne : https://gowlingwlg.com/fr/insights-resources/articles/2018/canada-hits-refresh-on-cyber-in-2018-with-cccs/.