Introduction
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
Au début de mars 2021, les administrations et les organisations du monde ont pris connaissance de cyberattaques ciblant une vulnérabilité auparavant inconnue dans les systèmes de courriel Microsoft Exchange. Ces attaques attribuées à la Chine ont ciblé les communications par courriel des organisations visées et servent à obtenir un accès continu aux réseaux des victimes. Alors que l'attaque s'est répandue, d'autres auteurs de menace perfectionnés ont rapidement tiré avantage de la vulnérabilité, et des centaines de milliers d'organisations ont été touchées. Au Canada, le gouvernement a immédiatement déclaré qu'il s'agissait d'un événement de cybersécurité et trois organisations - le Secrétariat du Conseil du Trésor du Canada (SCT), Services partagés Canada (SPC) et le Centre canadien pour la cybersécurité (CCC) - ont travaillé avec les ministères pour déterminer leurs vulnérabilités et leur ont ordonné de déployer les correctifs nécessaires pour leurs systèmes. Le CCC a aussi averti des centaines d'organisations du secteur privé de la possible vulnérabilité. En quelques jours, les organisations touchées ont apporté les changements requis et un seul ministère a été touché. En date de juin 2021, aucune organisation fédérale n'a perdu de données à la suite de l'attaque. Note de bas de page 1
De façon générale, le gouvernement a réussi à défendre rapidement et efficacement ses réseaux d'une vulnérabilité grave et auparavant inconnue. Comment le gouvernement en est-il arrivé là? Quels obstacles lui reste-t-il à surmonter? Le gouvernement est-il prêt à lutter contre les cybermenaces de l'avenir? Le présent examen s'efforce de répondre à ces questions.
1. Les cybermenaces représentent un risque considérable et omniprésent pour la sécurité nationale du Canada. Elles touchent les Canadiens sur différents plans, menaçant les systèmes et services gouvernementaux, les fournisseurs de services essentiels, les systèmes financiers et de la santé, les réseaux des universitaires et de recherche, et les renseignements personnels sensibles. Les gouvernements sont des ciblés attrayantes pour les cyberattaques. Le gouvernement fédéral détient une quantité énorme de données sur les Canadiens, les entreprises et les secteurs de l'innovation du Canada comme les universités et les instituts de recherche. Les cyber compromissions de ces données pourraient révéler des renseignements personnels sensibles de Canadiens et miner la vitalité d'entreprises précises et de l'économie. Le gouvernement gère aussi des relations de sécurité, de commerce et avec l'étranger par l'entremise d'infrastructures électroniques qui, si elles sont compromises, pourraient porter atteinte aux politiques du gouvernement et mettre en péril les intérêts vitaux du Canada. De plus, le gouvernement fournit de nombreux services essentiels qui dépendent grandement d'infrastructures électroniques solides et sans échec.
2. Depuis sa création, le Comité des parlementaires sur la sécurité nationale et le renseignement (le Comité) s'intéresse à la sécurité des systèmes gouvernementaux. Ces systèmes sont au cœur de l'infrastructure essentielle du Canada et font partie intégrante de la sécurité nationale. Les ministères ont maintes fois renseigné le Comité sur les types de cyber menaces qui pèsent sur le Canada, et le Comité a résumé ces menaces dans son Rapport annuel 2018 au premier ministre, puis plus en détail dans son Rapport annuel 2020. Il exprime ses préoccupations concernant l'omniprésence des cybermenaces et, en particulier, la complexité et la constance des menaces que représentent plusieurs acteurs étrangers étatiques et non étatiques, y compris la menace grandissante du rançongiciel. Il reconnaît aussi l'ampleur des changements que le gouvernement a apportés au cours des dernières décennies, y compris l'ajout ou la mise à jour de pouvoirs, la création de nouvelles organisations et de nouveaux programmes, et des investissements considérables dans la cybersécurité et la cyberdéfense. En fait, le Comité a reporté la tenue d'un examen sur des questions de cybersécurité en 2018 afin d'éviter d'avoir des effets défavorables sur la mise en oeuvre de changements récemment annoncés à l'appareil gouvernemental, notamment la création du Centre canadien pour la cybersécurité et les changements inhérents dans les rôles et les responsabilités de Services partagés Canada et de sécurité publique Canada.
3. La cybersécurité est un domaine vaste et complexe. Dans la Stratégie nationale de cybersécurité de 2018, le gouvernement a défini la cybersécurité comme étant « la protection de l'information numérique et de l'infrastructure sur laquelle elle repose Note de bas de page 2 . » Une telle définition forcément extensive implique un éventail d'acteurs de l'industrie, du monde universitaire et du gouvernement, et peut englober n'importe quoi allant de l'approvisionnement de matériel, de logiciels et de services, à l'élaboration de lois et de règlements. Même si ces domaines sont essentiels en soi, bon nombre d'entre eux n'ont aucun lien ou presque avec les enjeux de sécurité et du renseignement, qui sont au cœur du mandat d'examen du Comité.
4. Le Comité a donc décidé d'entreprendre l'examen d'un sous-ensemble précis des activités de cybersécurité: la cyberdéfense. On peut définir la cyberdéfense comme la capacité technique de repérer et de détecter des cyberincidents, et d'élaborer et de déployer des contre-mesures pour les enrayer. Note de bas de page 3 Au Canada, le Centre de la sécurité des télécommunications (CST) est l'organisation principale chargée du développement et du déploiement d'activités de cyberdéfense. Ses efforts ont été facilités par son rôle complémentaire en tant qu'organisation responsable du renseignement électromagnétique au Canada. En effet, ce rôle lui a permis d'être informé des activités et des tactiques des cyberacteurs les plus avancés, particulièrement les états étrangers possédant les ressources et les moyens de préparer des attaques persistantes et d'avant-garde sur le plan technique contre des systèmes et des réseaux ciblés (ces acteurs sont considérés comme étant des menaces persistantes avancées). Le CST s'est servi de l'information obtenue pour concevoir des capteurs de cyberdéfense et des technologies de défense sur mesure qui peuvent repérer et contrecarrer de telles menaces, que les technologies commerciales ne peuvent pas déjouer. Les changements fondamentaux aux pouvoirs dérivés de la loi ont été au centre de la capacité du CST de monter ses opérations et de les adapter à l'évolution rapide de la technologie. Le premier changement important a eu lieu en 2001 par l'adoption de modifications à la Loi sur la défense nationale, qui a créé le fondement légal des activités du CST liées à la sécurité des technologies de l'information et au renseignement électromagnétique étranger. En 2019, la Loi sur le Centre de la sécurité des télécommunications est entrée en vigueur, et a précisé et élargi ces pouvoirs. Le présent rapport explique cette évolution.
5. Le cadre de la cyberdéfense comprend deux autres grands acteurs: Services partagés Canada et le Conseil du Trésor, soutenu par le Secrétariat du Conseil du Trésor du Canada. Créé en 2011, Services partagés Canada (SPC) joue plutôt un rôle opérationnel. SPC offre aux ministères trois services essentiels - réseaux, courriels et centres de données - et collabore étroitement avec le CST pour agir face aux cyberincidents graves. Lorsque SPC a été créé, 43 ministères devaient se procurer ses services, ce qui représentait environ 95 pour cent des dépenses liées à l'infrastructure de la technologie de l'information du gouvernement; les autres ministères et organismes plus petits représentaient les 5 pour cent restants. Ces 43 partenaires originaux continuent de recevoir tous les services de SPC, y compris ceux liés à la cybersécurité. Au fil du temps, 117 autres organisations fédérales ont choisi d'obtenir certains de ces services, faisant passer le nombre total d'organisations qui reçoivent les services de SPC a 160 dès 169 organisations, soit 95 pour cent de toutes les organisations fédérales.
6. Le rôle que joue SPC dans la cyberdéfense est essentiel dans deux mesures. Premièrement, le gouvernement a réduit sa vulnérabilité à toutes les formes de cyberattaques en groupant le nombre de points de connexion entre les réseaux du gouvernement et Internet et en réduisant le nombre de centres de données patrimoniales. Deuxièmement, le gouvernement a grandement diminué la probabilité de la réussite de cyberattaques, et leurs dommages possibles s'il y a lieu, en plaçant la majorité des organisations fédérales (c'est-a-dire celles qui reçoivent les services de SPC) sous la zone de couverture des capteurs et des systèmes de cyberdéfense perfectionnés du CST.
7. Le Conseil du Trésor et son Secrétariat jouent un rôle prédominant dans la cyberdéfense, tant comme dirigeant principal de l'information du gouvernement, que par l'entremise de directives et de politiques applicables à tous les ministères. Le Conseil du Trésor et son Secrétariat sont habilités à créer des politiques au titre de différents textes législatifs, plus particulièrement la Loi sur la gestion des financés publiques (LGFP). D'abord adoptée en 1985, la LGFP définit les rôles et les responsabilités de certains acteurs clés dans l'ensemble du gouvernement et permet au Conseil du Trésor de publier des politiques, des directives, des normes et des lignes directrices relatives à la gestion et à l'administration des entités fédérées. Conformément au système parlementaire du Canada, la LGFP comporte une structure d'autorité verticale : chaque ministre et les administrateurs généraux sont responsables des activités de chaque ministère.
8. Les instruments politiques promulgués au titre de la LGFP sont fondamentaux pour la cyberdéfense. Ils précisent les rôles et les obligations de responsabilisation de différents ministères, donnent une orientation et définissent les exigences. Les instruments les plus importants comprennent la Politique sur la sécurité du gouvernement, la Politique sur les services et le numérique, le Plan stratégique des opérations numériques, la Stratégie d'adoption de l'informatique en nuage, et le Plan de gestion des événements de cybersécurité. Ils définissent le cadre des cyberactivités de sécurité et de défense. Comme toutes les directives du Conseil du Trésor, le SCT estime que la mise en œuvre des instruments liés à la cyberdéfense est « obligatoire ». Cela dit, conformément aux pouvoirs verticaux de la LGFP, les administrateurs généraux de chaque ministère sont en définitive responsables de veiller à l'intégrité et à la sécurité de leurs systèmes et réseaux électroniques et à la mise en œuvre des directives du SCT. Pour intervenir face aux cas de non-conformité, le Conseil du Trésor a mis en place un cadre stratégique sur la gestion de la conformité, qui comprend un éventail de conséquences administratives. Note de bas de page 4
9. D'autres pouvoirs jouent un rôle plus précis dans le cadre de la cyberdéfense. Les changements apportés aux pouvoirs du CST en 2001 et en 2019 ont permis à l'organisation de créer un secteur d'activités qui s'est révélé crucial à la cyberdéfense du Canada. Il ne faut pas oublier les modifications apportées en 2004 au Code criminel et à la LGFP pour préciser de quelle manière les organisations gouvernementales sont habilitées à protéger leurs propres cybersystèmes. Le présent examen résume l'évolution de ces pouvoirs et instruments et le rôle qu'ils jouent dans le domaine de la cyberdéfense.
10. Enfin, le gouvernement a fourni une orientation clé stratégique, apporté d'importants changements structurels et investi des ressources considérables pour renforcer sa cybersécurité et ses moyens de cyberdéfense. En effet, le gouvernement a fourni une orientation stratégique dans les domaines de la cybersécurité et de la cyberdéfense par l'entremise de la Politique de sécurité nationale de 2004, de la Stratégie de cybersécurité de 2010 et de la Stratégie nationale de cybersécurité de 2018. Il a apporté des changements considérables à la structure du gouvernement, notamment en créant SPC en 2011 et le CCC en 2018. Bon nombre de ces changements ont demandé des investissements importants : au total, entre 2010 et 2021, le gouvernement a investi plus de 6 milliards de dollars dans la défense de ses réseaux centre les cyberattaques. Note de bas de page 5 Le présent rapport décrit les différents changements apportés par le gouvernement au cours des deux dernières décennies et présente des recommandations quant aux efforts à réaliser pour terminer ce travail, y compris en ce qui a trait aux pouvoirs gouvernementaux.