Aperçu de l'examen
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
11. Le 19 juin 2020, le Comité a décidé d'entreprendre un examen du cadre et des activités du gouvernement du Canada pour défendre ses systèmes et réseaux centre les cyberattaques. Le 6 juillet 2020, le président du Comité a envoyé des lettres de notification aux ministres de la Défense nationale et de la sécurité publique et de la Protection civile ainsi qu'au président du Conseil du Trésor. L'examen comprenait les organisations qui suivent :
- le Centre de la sécurité des télécommunications;
- Services partagés Canada;
- le Secrétariat du Conseil du Trésor du Canada;
- Sécurité publique Canada.
12. Le Comité a informé les ministres que l'examen porterait sur le cadre fédéral de la cyberdéfense, les activités qui constituent la cyberdéfense pour le gouvernement et les pouvoirs et les structures de gouvernance, y compris la gouvernance et la coordination interministérielles au titre desquelles elles sont menées. Les objectifs de l'examen seraient :
- d'étudier l'évolution des cadres législatif, règlementaire, politique, opérationnel, administratif ou financier associés à la tenue des activités de cyberdéfense;
- de définir le type, la nature et l'étendue des activités qui constituent la cyberdéfense pour le gouvernement et la menace en évolution qu'elle vise à centrer;
- d'examiner l'évolution des structures de pouvoir, de responsabilisation et de gouvernance pour les activités de cyberdéfense, y compris la gouvernance et la coordination interministérielles;
- de définir les systèmes et les réseaux qui constituent les systèmes de technologie de l'information du gouvernement;
- d'examiner les études de cas pertinentes relatives à la cybercompromission des systèmes gouvernementaux;
- de se pencher sur les risques découlant des activités de cyberdéfense (p. ex. les droits des Canadiens en matière de protection des renseignements personnels).
13. Le Comité a concentré sa recherche sur la défense des systèmes du gouvernement fédéral centre les cyberattaques, un domaine d'examen qui convient parfaitement à son mandat défini dans la loi. Ce faisant, le Comité a exclu plusieurs enjeux de la portée de son examen. Il n'a pas examiné les activités de cyberdéfense liées à la protection des infrastructures essentielles à l'extérieur des systèmes du gouvernement fédéral (p. ex. d'autres paliers gouvernementaux ou des secteurs comme celui de l'énergie). La protection des infrastructures essentielles est un sujet large et complexe en soi, sur lequel le Comité pourrait se pencher ultérieurement. Il n'a pas examiné les activités du gouvernement liées à la défense des élections fédérales de 2019 contre les cybermenaces. Le gouvernement avait déjà entamé un rapport à ce sujet au moment où le Comité a annoncé son examen. Lorsque le Comité a reçu ce rapport en 2020, il a présenté des commentaires et des recommandations au premier ministre. Enfin, le Comité n'a pas examiné la réponse du gouvernement à la cybercriminalité: la Gendarmerie royale du Canada (GRC), l'une des organisations centrales de la sécurité et du renseignement pouvant faire l'objet d'un examen du Comité, était en train de mettre en oeuvre d'importants changements dans sa façon de mener des enquêtes sur les cybercrimes. De plus, dans l'ensemble, la cybercriminalité ne s'inscrit pas dans le mandat d'examen du Comité.
14. Le Comité a étudié une quantité importante de documentation historique de 2001 jusqu'à présent, principalement pour explorer l'évolution de la compréhension du gouvernement sur les cybermenaces et les moyens et ressources nécessaires pour y faire face. Le Comité a centré son analyse sur des périodes clés ou des incidents majeurs ont forcé des ministères à réorienter leurs opérations et ou le gouvernement a adopté des lois habilitantes ou a apporté des changements à sa structure pour mener une action concernant les obstacles en matière de cyberdéfense. Dans la même ligne que ses examens antérieurs, le Comité a mis un accent considérable sur la responsabilisation, les pouvoirs, et la gouvernance et la coordination des activités.
15. L'examen du Comité s'est déroulé en deux étapes. La première était un examen des documents gouvernementaux qui décrivent l'évolution des réponses aux menaces nouvelles et émergentes. Le Comité a complété ces documents avec des sources d'information universitaires et publiques, mais il a été limité dans les discussions qu'il pouvait tenir avec des experts à l'extérieur du gouvernement en raison de la pandémie. La deuxième étape était de tenir des séances de breffage et des audiences avec des représentants du gouvernement. Le Secrétariat du Comité a travaillé étroitement avec les ministères en question pour obtenir de l'information et la préciser. Au total, le Comité a tenu cinq réunions avec différents ministères et a consulté plus de 2 500 documents, représentant plus de 37 000 pages de documentation.
16. Le présent rapport se compose de cinq parties. La première est une description des cybermenaces qui pèsent sur le gouvernement et un examen des enjeux découlant d'une attaque contre les réseaux du gouvernement par des auteurs de cybermenace. La deuxième est une description historique de l'évolution du cadre du gouvernement pour défendre ses réseaux depuis 2001. Cette partie explique l'importance des pouvoirs dérivés de la loi dans les fondements des activités de cyberdéfense, le rôle de différentes politiques du gouvernement, particulièrement les Stratégies successives en matière de cybersécurité, et les principaux changements dans la structure du gouvernement, notamment la création de Services partagés Canada en 2011 et du Centre canadien pour la cybersécurité (CCC) en 2018. La troisième partie porte sur les rôles, les responsabilités, les pouvoirs et les activités des principaux partenaires dans le cadre de cyberdéfense du gouvernement : le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada et le Centre de la sécurité des télécommunications, connus ensemble com me le groupe tripartite sur la sécurité des technologies de l'information. La quatrième partie décrit le cadre de gouvernance qui englobe les activités de cyberdéfense au gouvernement. Finalement, le Comité a présenté son évaluation, ses conclusions et ses recommandations.
17. Dans cette dernière section, le Comité souligne que le cadre de cyberdéfense du gouvernement a évolué au fil du temps vers une approche « d'entreprise » horizontale qui traite les systèmes et les réseaux du gouvernement comme étant une seule entité. Ces dix dernières années ont montré que cette évolution a grandement amélioré les moyens de cyberdéfense du Canada. Toutefois, le Canada ne peut pas baisser la garde: le gouvernement doit continuer de mettre en œuvre les mesures nécessaires pour s'adapter aux changements. Particulièrement, l'approche horizontale à la cyberdéfense concorde de mains en mains avec les pouvoirs verticaux des ministères, au les différentes organisations et sociétés d'État conservent une certaine latitude à savoir s'ils adhèrent au cadre de cyberdéfense du gouvernement au s'ils font les changements nécessaires pour protéger leurs systèmes des menaces complexes. Ces pouvoirs ont été établis avant l'ère numérique et doivent être mis à jour pour tenir compte des nouvelles technologies et menaces.