Partie II : Évolution du cadre de cyberdéfense du gouvernement du Canada
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Table des matières

68. On peut qualifier l'évolution du cadre de cyberdéfense du gouvernement du Canada comme ayant été non anticipée, réactive, délibérée et planifiée. Des modifications législatives ont établi de nouveaux pouvoirs, qui ont servi de moteur à l'élaboration d'activités visant à renforcer la sécurité des systèmes gouvernementaux et, au bout du compte, à mieux les défendre. Au même moment, les principaux auteurs de cybermenace ont forcé le gouvernement à adapter ses moyens de défense, surtout à la suite de graves cyberincidents ayant causé d'importantes pertes de données et fait ressortir la vulnérabilité de certains ministères ainsi que du gouvernement de manière plus générale. En réponse, le gouvernement a adopté des politiques et des stratégies clés; a investi dans la modernisation des technologies de l'information et des moyens de cyberdéfense; et a mis sur pied des organisations chargées de se pencher sur les faiblesses du système. De ce fait, le gouvernement s'est progressivement écartée de son approche cloisonnée selon laquelle les différents ministères, peu importe leur taille, étaient chargés d'assurer leur propre cyberdéfense; pour plutôt considérer le gouvernement com me étant une « entreprise » au sein de laquelle des organisations précises se chargent de diriger la mise en oeuvre de politiques dans l'ensemble du gouvernement et d'offrir des services de « défense en profondeur » afin de protéger le gouvernement à titre d'organisation.

Les premiers temps (de 2001 à 2010)

69. L'origine de la cyberdéfense au Canada était de nature législative. Le 18 décembre 2001, le Parlement a adopté la Loi antiterroriste. Comme son nom l'indique, la loi a été mise en œuvre en réponse aux attaques terroristes de septembre 2001. Pour le Centre de la sécurité des télécommunications (CST), cela signifiait que son mandat et ses pouvoirs étaient prévus par la loi (la Loi sur la défense nationale) ^{Note de bas de page 102} , lui permettant ainsi d'élargir ses activités liées au renseignement a l'étranger a l'appui, entre autres, de la lutte contre al-Qa·1da. Par le fait même, la loi établissait des pouvoirs généraux permettant au CST d'offrir des conseils, des directives et des services visant à protéger l'information électronique et les infrastructures d'information importantes aux yeux du gouvernement, notamment les autorisations ministérielles pour les activités pouvant mener à l'interception de communications privées. Au fil du temps, ces pouvoirs ont permis au CST de mettre sur pied et de mener des activités de cyberdéfense novatrices sur les systèmes ou les réseaux informatiques du gouvernement, notamment des activités de mise à l'essai de mécanismes actifs de sécurité réseau visant à mesurer l'état de sécurité de certains systèmes et réseaux gouvernementaux, de même que des activités de cyberdéfense visant à protéger certains systèmes et réseaux du gouvernement. ^{Note de bas de page 103}

Mise à l'essai de mécanismes actifs de sécurité réseau et évaluations de la posture

70. De 2002 à 2012, le CST a mené des activités de mise à l'essai de mécanismes actifs de sécurité réseau pour les ministères. Dans le cadre de ces activités, le CST s'est servi de diverses méthodes techniques non classifiées pour pénétrer dans les systèmes informatiques d'une organisation gouvernementale et ainsi cerner les vulnérabilités et les faiblesses du réseau, et pour tester la réaction d'un ministère face à une cybermenace active. Ces essais de « pénétration » ont été conçus pour déterminer si un auteur de cybermenace Uoue par le CST) était en mesure d'accéder à un réseau et d'obtenir des documents classifiés ou sensibles qui n'auraient pas dû être accessibles au public. On s'est servi des résultats pour formuler des recommandations visant à remédier aux faiblesses. ^{Note de bas de page 104}

71. Le CST a mené ses premières activités en vertu d'autorisations ministérielles en 2002. Il a recherche des vulnérabilités relatives *** a ses propres réseaux, puis mis à l'essai ses réseaux ***, de même que ceux du Bureau du Conseil Privé, pour y déceler des faiblesses. ^{Note de bas de page 105} En novembre 2002 et en avril 2003, le CST a obtenu des autorisations ministérielles de soumettre respectivement les réseaux du Service canadien du renseignement de sécurité (SCRS) et du ministère des Affaires étrangères et du Commerce international à des essais similaires. Des suites de cette expérience, le CST a commencé à se servir véritablement de ses pouvoirs. De 2002 à 2006, le CST a obtenu 11 autorisations ministérielles pour effectuer des activités de mise à l'essai et d'évaluation des systèmes pour les organisations suivantes :

le ministère de la Défense nationale, y compris *** (octobre 2002);
la Gendarmerie royale du Canada (juin 2003);
le Bureau du Conseil privé (novembre 2003);
l'Agence des douanes et du revenu du Canada (décembre 2003);
le ministère du développement des ressources humaines (Janvier 2004);
le ministère de la Défense nationale (Janvier 2004);
le ministère de l'industrie (mai 2004);
*** (octobre 2004);
le CST, y compris les réseaux du Bureau du commissaire du CST (avril 2005);
le Bureau du Conseil privé (février 2006);
le ministère de la Défense nationale (février 2006). ^{Note de bas de page 106}

Ces activités ont été interrompues en octobre 2006. Lorsqu'elles ont repris en décembre 2007, le CST s'est servi d'une nouvelle approche (paragraphes 74 à 76).

L'origine des activités de défense des réseaux informatiques

72. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] De 2004 à 2006, le CST a commencé à mener des activités qui allaient constituer la base de son programme de cyberdéfense. à la fin de 2003, le ministère de la Défense nationale (MDN) a signalé des intrusions (plus tard, Il a été déterminé qu'il s'agissait de la Russie) dans ses systèmes et a demandé l'aide du CST. En janvier 2004, le CST a demandé une autorisation ministérielle pour mener des activités de mise à l'essai de mécanismes actifs de sécurité réseau sur le réseau du MDN et pour mettre en place des mesures de cyberdéfense visant à cerner les tentatives d'exploitation ainsi qu'à surveiller les activités de l'auteur de cybermenace sophistiqué. ^{Note de bas de page 107} Au cours de la même année, le CST et Affaires étrangères Canada (AEC) ont suivi les tentatives de la Chine visant à compromettre le réseau d'AEC. En juin 2005, le CST a demandé une autorisation ministérielle pour installer des cyberoutils sur les systèmes d'AEC. ^{Note de bas de page 108}

73. En 2006, le CST a reçu des autorisations ministérielles pour mener des activités de défense des réseaux informatiques pour les réseaux du MDN (février), les réseaux d'AEC (juin) et ses propres réseaux (juin). Le CST a imputé les attaques de plus en plus sophistiquées contre les réseaux du MDN à la Chine, et les attaques contre les réseaux d'AEC à la Chine et à la Russie. Comme Il l'avait fait *** en 2004, le CST*** a déployé des outils pour renforcer sa capacité de détecter les cyberattaques avancées contre les réseaux du gouvernement, d'intervenir face à ces cyberattaques, et de retracer l'origine (étrangère) des attaques détectées dans le cadre des activités liées au renseignement à l'étranger du CST. ^{Note de bas de page 109} Ainsi ont commencé les activités avancées de défense des réseaux informatiques au sein du gouvernement du Canada, qui sont maintenant appelées les « activités de cyberdéfense ».

Dures leçons apprises en cours de route

74. En octobre 2006, le CST a interrompu toutes ses activités de mise à l'essai de mécanismes actifs de sécurité réseau et de défense des réseaux informatiques. Com me l'a ensuite expliqué le commissaire du CST :

[traduction] Le CST n'a pas respecté toutes les exigences et les conditions prévues par ses autorisations ministérielles pendant la période allant de juin 2005 à octobre 2006. La direction n'a pas suffisamment porté attention aux conditions des autorisations ministérielles, à leur communication et à leur respect. Le cadre de contrôle à l'intention des personnes qui effectuent ces activités n'était pas assez clair, cohérent, exhaustif ou récent. L'ensemble des répercussions de ces enjeux ont fait en sorte de remettre en doute le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la défense nationale par le CST. ^{Note de bas de page 110}

Le CST a examiné son programme et a mis en œuvre plusieurs changements au cours de l'année en vue de restructurer ses activités et son cadre stratégique et d'améliorer la surveillance et la responsabilisation du programme.

75. En décembre 2007, le CST a demandé une autorisation ministérielle en vue de reprendre ses activités de mise à l'essai de mécanismes actifs de sécurité réseau. Le CST a laissé tomber les demandes d'autorisation individuelles pour chaque ministère et a adopté une approche globale consistant à obtenir une seule autorisation ministérielle lui permettant de réaliser des évaluations de la sécurité réseau à la demande d'un ministère, conformément à la Politique du gouvernement sur la sécurité du Conseil du Trésor. ^{Note de bas de page 111} Le CST a offert ces services aux ministères jusqu'en 2012, lorsqu'il fut apparent que la valeur relative des essais de pénétration dans les réseaux fût en baisse (le CST était toujours en mesure de pénétrer dans les réseaux des organisations visées). Le CST s'est alors entièrement consacré aux activités de cyberdéfense, dans le cadre desquelles il accomplissait des progrès considérables pour cerner et bloquer des cyberattaques complexes a l'aide de ses méthodes de cyberdéfense.

76. En mars 2008, le ministre de la Défense nationale a approuvé une demande globale semblable visant à obtenir une autorisation ministérielle pour reprendre les activités de défense des réseaux informatiques sur les réseaux du gouvernement afin d'assurer une protection contre le vol de renseignements sensibles par des cyberacteurs sophistiqués. Le CST a constaté que des adversaires très expérimentés, surtout la Chine et la Russie, s'en prenaient à un nombre de plus en plus élevé de ministères. L'autorisation permettait au CST de mener cinq types d'activités de défense des réseaux informatiques :

analyse d'incidents : mener des enquêtes sur les alertes lorsque le système de détection d'intrusion du CST signale de possibles menaces;
analyse d'anomalies : créer des profils normalisés des ministères et du trafic sur leurs réseaux en vue de cerner des comportements inhabituels pouvant indiquer des activités malveillantes;
analyse judiciaire d'intrusions : examiner en profondeur les intrusions malveillantes dans le réseau pour cerner de possibles dommages au réseau du gouvernement;
signalement d'incidents : formuler des conseils d'atténuation en réponse aux intrusions cernées;
élaboration d'outils avancés : renforcer les outils de détection d'intrusion classifiés du CST en fonction de l'analyse des cyberactivités malveillantes afin d'améliorer la détection de cybermenaces. ^{Note de bas de page 112}

Comme décrit plus loin, ce changement a permis au CST d'installer ses capteurs sur le Réseau de la Voie de communication protégée du gouvernement du Canada et ainsi de regrouper l'accès Internet de plus de 70 ministères. De cette manière, le CST a pu découvrir que la Chine avait porté atteinte à certains ministères et volé d'importantes quantités de données. Cette découverte a entraîné bon nombre de changements au cours des années suivantes (décrits ci-dessous), notamment le fait d'appliquer les mesures de cyberdéfense du CST a un plus grand nombre de ministères. ^{Note de bas de page 113} Pour sa part, le CST continue d'offrir ses activités de défense des réseaux informatiques aux ministères, et ce, en vertu d'autorisations ministérielles successives depuis 2008. Ces activités, aujourd'hui connues sous le nom d'activités de cyberdéfense, sont décrites de manière plus détaillée dans la partie sur le CST (paragraphes 154 a 212).

Politiques du gouvernement du Canada en matière de cyberdéfense

77. De 2001 à 2010, le gouvernement a instauré deux politiques présentant un intérêt particulier pour la cyberdéfense: la Politique du gouvernement sur la sécurité en 2002 et la Politique de sécurité nationale en 2004. La Politique du gouvernement sur la sécurité visait à appuyer l'intérêt national et les objectifs opérationnels du gouvernement du Canada tout en assurant la sécurité des employés et des biens ainsi que la prestation continue des services. Selon la politique, les administrateurs généraux étaient chargés d'assurer la sécurité des employés et des biens sous leur responsabilité, et devaient respecter certaines exigences de base en matière de sécurité établies dans la politique. Parmi les exigences auxquelles les ministères devaient se plier, on comptait la nomination d'un agent de sécurité ministérielle dans le but d'établir un programme de sécurité permettant d'assurer la coordination de toutes les fonctions de la politique, notamment la sécurité des technologies de l'information, le filtrage de sécurité et le contrôle des accès. La Politique du gouvernement sur la sécurité exigeait des ministères qu'ils mettent en place des contrôles de sécurité de référence en matière de technologie de l'information visant à prévenir et à détecter les atteintes aux systèmes de technologie de l'information, à intervenir face à celles-ci et à redresser la situation. Qui plus est, les ministères devaient évaluer périodiquement leurs systèmes de technologie de l'information; surveiller continuellement les activités de ces systèmes pour détecter les anomalies relatives aux niveaux de prestation de services; mettre en place des mécanismes pour intervenir efficacement face aux incidents liés aux technologies de l'information, le cas échéant; et échanger de l'information liée à ces incidents avec les ministères responsables en temps opportun. ^{Note de bas de page 114} Le Conseil du Trésor a modifié la Politique du gouvernement sur la sécurité en 2009, puis une autre fois en 2019, lorsqu'il l'a renommée « Politique sur la sécurité du gouvernement ». La pertinence et l'application actuelles de la politique sont décrites aux paragraphes 103 à 106.

78. La Politique de sécurité nationale du gouvernement prévoyait un cadre stratégique et un plan d'action permettant de veiller à ce que le gouvernement soit prêt à intervenir face à un éventail de menaces envers la sécurité nationale. Selon la politique, les cyberattaques représentent : « un sujet croissant de préoccupation, car elles peuvent avoir un impact sur divers types d'infrastructures essentielles reliées par des réseaux informatiques ». Le document présente également deux initiatives visant à éliminer cette menace: premièrement, améliorer considérablement les analyses des menaces et des vulnérabilités pour les systèmes du gouvernement et renforcer la capacité de défendre les systèmes du gouvernement contre les attaques; deuxièmement, élaborer une Stratégie nationale de cybersécurité. ^{Note de bas de page 115} Ces initiatives ont été financées dans les budgets d’années ultérieures.

Établissement de l'entreprise du gouvernement du Canada (de 2010 à 2018)

79. La période allant de 2010 à 2018 a joué un rôle essentiel dans l'établissement du cadre de cyberdéfense du gouvernement. Pendant cette période, le gouvernement a déployé deux Stratégies nationales de cybersécurité et a alloué une quantité substantielle de financement à la cyberdéfense et à la cybersécurité. Le gouvernement a également apporté d'importants changements à sa structure organisationnelle en créant Services partagés Canada et le Centre canadien pour la cybersécurité (CCC). Au même moment, des cyberattaques d'envergure constituaient d'importants moteurs de changement, notamment le déploiement des capteurs du CST sur les réseaux du gouvernement et le regroupement des points d'accès à Internet et des centres de données du gouvernement. Le gouvernement a également mis en place des mécanismes pour gérer la cyberdéfense et préciser les rôles et les responsabilités des intervenants du cadre de cyberdéfense. Les changements sont décrits ci-dessous.

Stratégie de cybersécurité du Canada de 2010

80. En octobre 2010, le gouvernement a mis sur pied la Stratégie de cybersécurité du Canada dans le but de défendre la population canadienne, les entreprises canadiennes et l'économie centre les cybermenaces. La Stratégie comportait trois piliers :

sécuriser les systèmes du gouvernement : vise à renforcer la capacité du gouvernement de prévenir et de détecter les cybermenaces, ainsi que d'intervenir face à celles-ci et de redresser la situation;
nouer des partenariats pour protéger les cybersystèmes essentiels à l'extérieur du gouvernement fédéral : vise à renforcer la cyberrésilience au Canada, notamment pour les secteurs de l'infrastructure essentielle;
aider les Canadiens et les Canadiennes à se protéger en ligne : vise à favoriser la sensibilisation du public, à informer les Canadiens et les Canadiennes sur les moyens de se protéger en ligne et à renforcer la capacité des organismes d'application de la loi de lutter contre la cybercriminalité. ^{Note de bas de page 116}

On a accordé plus de 244 millions de dollars en financement sur cinq ans pour la Stratégie, puis 60 millions de dollars par année par la suite. ^{Note de bas de page 117} Le premier pilier (sécuriser les systèmes du gouvernement) constituait le plus pertinent sur le plan de la cyberdéfense et a permis d'obtenir trois résultats notables : renforcer le programme de cyberdéfense du CST, créer Services partagés Canada et mettre en œuvre une gouvernance et des politiques améliorées. Chacun de ces éléments est abordé ci-dessous.

Renforcer le programme de cyberdéfense du CST

81. Le principal objectif du premier pilier de la Stratégie consistait à accroître les cybercapacités du gouvernement en matière d'enquête, d'analyse du renseignement et de technologie. La majeure partie du financement, c'est-a-dire 205 millions de dollars sur cinq ans (84 % du financement total pour la Stratégie) a été alloué au CST dans le but d'améliorer sa capacité de défendre les réseaux et les systèmes du gouvernement. Le financement a notamment servi à installer de nouveaux capteurs réseau afin de surveiller les réseaux des ministères pour détecter les cybermenaces et automatiquement empêcher les cyberattaques, et à développer des capteurs sur l'hôte, un logiciel conçu pour défendre les appareils individuels du gouvernement. ^{Note de bas de page 118}

82. Ces investissements ont permis de nettement améliorer les capacités de cyberdéfense du CST. Avant la mise en œuvre de la Stratégie, le programme de cyberdéfense du CST était axé sur l'intervention face aux incidents et l'atténuation de ceux-ci, ce qui nécessitait un traitement manuel laborieux et l'établissement de rapports ponctuels a l'intention de chaque client. Le déploiement de la défense dynamique basée sur le réseau en 2013 a permis au CST de mieux analyser et surveiller l'information sur les menaces pouvant servir à empêcher de manière proactive que les cyberattaques atteignent les systèmes et les utilisateurs du gouvernement en bloquant les attaques au périmètre du réseau du gouvernement. Les avantages de cet outil ont été soulignés en 2014 lorsque le CST a déployé ses capteurs réseau de défense dynamique sur le Réseau de la Voie de communication protégée de Services partagés Canada à l'appui des mesures prises par le gouvernement en vue d'atténuer une importante cybervulnérabilité (voir l'étude de cas 3 sur Heartbleed). Dans le cadre de la Stratégie, le CST a mis sur pied le Centre d'évaluation des cybermenaces dans le but d'améliorer sa connaissance et sa compréhension des cybermenaces complexes ciblant les systèmes gouvernementaux. ^{Note de bas de page 119} Ainsi, le CST a été en mesure d'assurer un meilleur suivi des cybertendances et des cybermenaces connues et d'établir de meilleurs rapports a cet égard, en plus d'automatiser la découverte des cybermenaces et le déploiement des mesures de cyberdéfense. ^{Note de bas de page 120} L'élaboration du programme de cyberdéfense du CST a contribué à une expansion constante de la visibilité des réseaux du gouvernement pour le CST, tout en diminuant le nombre de tentatives d'exfiltration de données réussies. ^{Note de bas de page 121}

Créer Services partagés Canada

83. La création de Services partagés Canada (SPC) a facilité la mise en œuvre des objectifs énoncés dans la Stratégie de cybersécurité du Canada. ^{Note de bas de page 122} Ce changement a grandement contribué à l'évolution de l'architecture de cyberdéfense du gouvernement, puisqu'il a permis de regrouper les ressources en matière de technologie de l'information de 42 ministères (environ 95 % des ressources fédérales) et d'accélérer l'adoption d'une approche d'entreprise en ce qui a trait à la cybersécurité. De manière générale, SPC est chargé de concevoir et de gérer l'infrastructure des technologies de l'information sécuritaire qui protège les données et les biens technologiques du gouvernement; d'élaborer des politiques, des normes, des plans et des modèles en matière de sécurité; et d'offrir des services liés à la sécurité pour la prestation des services du gouvernement. ^{Note de bas de page 123} Dans le cadre de la Stratégie, SPC a amélioré sa capacité en matière de surveillance des menaces, d'évaluation des vulnérabilités et de prestation de services d'informatique judiciaire pour ses 43 principaux partenaires; et a déployé de nouveaux outils pour appuyer la gestion du volume grandissant de cybermenaces (voir la partie sur SPC aux paragraphes 126 à 153). ^{Note de bas de page 124} Il convient de noter que SPC a également regroupe plus de 720 centres de données gouvernementaux en 381 centres, dans le but de passer à quatre centres d'activités régionaux, et a réduit le nombre de points d'accès à Internet d'une centaine à deux - Il prévoit ajouter trois centres régionaux (comptabilisant cinq connexions protégées) et peut-être trois centres internationaux. Le fait de réduire le nombre de points de vulnérabilité a facilité la protection de l'ensemble de la cyberentreprise du gouvernement. Par l'entremise de son Centre de protection de l'information du gouvernement, SPC a assuré la surveillance des menaces, coordonne tous les incidents de sécurité touchant l'infrastructure soutenue par SPC et regroupe les incidents signalés par ses principaux partenaires. La création de SPC et le regroupement des ministères sous un modèle d'entreprise du gouvernement ont permis au gouvernement de mieux connaître les cybermenaces et les vulnérabilités et d'établir des conditions pour assurer un déploiement plus uniforme des capteurs de cyberdéfense avances du CST. ^{Note de bas de page 125}

Mettre en oeuvre une gouvernance et des politiques améliorées

84. La gouvernance comptait également parmi les principaux éléments de la Stratégie de cybersécurité de 2010. Avant la création de la Stratégie, la gouvernance de la cyberdéfense était marquée par un manque de clarté concernant les rôles et les responsabilités de même que par un modèle décentralisé et ponctuel selon lequel les sous-ministres devaient se charger individuellement de la cybersécurité et de la cyberdéfense de leurs organisations respectives. ^{Note de bas de page 126} L'un des objectifs de la Stratégie de 2010 consistait à définir clairement les rôles et les responsabilités pour la gestion des cyberincidents. A cette fin, sécurité publique Canada et le CST ont harmonisé leurs responsabilités relatives à la gestion et à la coordination des incidents, faisant en sorte que sécurité publique Canada soit responsable de la gestion de la cybersécurité pour les organisations non fédérales, notamment de la prestation de conseils stratégiques à d'autres niveaux du gouvernement (à l'époque, la Stratégie était axée sur les engagements avec les gouvernements provinciaux et territoriaux) et à des organismes du secteur privé; et que le CST soit responsable de la réalisation des activités liées à la cybersécurité et de la gestion des incidents relatifs aux systèmes gouvernementaux. ^{Note de bas de page 127}

85. De son côté, le Secrétariat du Conseil du Trésor du Canada (SCT) a mis sur pied trois comités de gouvernance pour assurer la gouvernance en matière de sécurité des technologies de l'information pour les initiatives horizontales sous le premier pilier de la Stratégie de 2010. Connus comme le groupe tripartite sur la sécurité des technologies de l'information, ces comités étaient composés respectivement de directeurs généraux, de sous-ministres adjoints et de sous-ministres. lls sont décrits plus en détail aux paragraphes 221 à 223. Le SCT a également dirigé l'élaboration d'un plan de gestion des incidents en matière de technologie de l'information améliorée pour permettre au gouvernement d'intervenir de manière plus rapide et cohérente face aux incidents de cybersécurité. Le plan comportait une description des rôles et des responsabilités des ministères quant au signalement des incidents en matière de technologie de l'information et à l'intervention face à ceux-ci; des protocoles horizontaux officiels en matière d'établissement de rapports, d'intervention et d'avertissement; ainsi qu'une liste de dirigeants et de comités de direction désignés avec qui communiquer lorsque les menaces s'intensifient. ^{Note de bas de page 128} La gouvernance de la gestion des incidents a encore évolué en 2015 lorsque le gouvernement a remplacé le plan par un nouveau plan de gestion des événements en matière de cybersécurité (paragraphes 224 a 236).

86. En ayant une compréhension des rôles et des responsabilités et une coordination ministérielle améliorées, le gouvernement a créé certains mécanismes de gouvernance interministériels. Le Comité des sous-ministres sur la cybersécurité constituait le principal mécanisme de gouvernance pour les questions stratégiques, avec l'appui de comités aux niveaux des sous-ministres adjoints et des directeurs généraux. Les trois comités étaient présidés par des cadres supérieurs de sécurité publique Canada et composés de membres de la haute direction du CST, du SCT, de SPC, du SCRS, de la Gendarmerie royale du Canada, du MDN et des Forces armées canadiennes ainsi que du Bureau du Conseil privé. Le Comité des sous-ministres sur la cybersécurité avait pour objectif d'établir une orientation stratégique pour les questions liées à la cybersécurité; de déterminer les priorités liées à la cybersécurité des ministères et organismes membres; et d'examiner les questions émergentes en matière de cybersécurité. ^{Note de bas de page 129} En ce qui concerne les résultats, une évaluation effectuée en 2016 a permis de constater que cette structure de gouvernance était propice à la collaboration, à la coordination et à l'échange d'information entre les organisations participantes, et contribuait a mettre au clair les rôles et les responsabilités des ministères. Toutefois, en l'absence de documentation convenable, l'évaluation n'a pas permis de déterminer la mesure dans laquelle les organismes de gouvernance remplissaient leurs fonctions, comme tenir des réunions régulières. Dans le cadre de l'évaluation, on a également remarqué que l'incertitude quant aux rôles et aux responsabilités persistait, ce qui constituait une source de confusion chez les intervenants des ministères, des organismes et du secteur privé, et que l'échange d'information était fait sur une base sélective ou ponctuelle puisqu'il n'y avait aucune politique en place. ^{Note de bas de page 130}

87. Le SCT a appuyé la gouvernance efficace et l'intervention face aux cyberincidents en établissant des normes, des lignes directrices et des politiques opérationnelles. En 2016, le SCT a publié le plan stratégique en matière de technologie de l'information. Ce plan oriente les organisations fédérales en ce qui a trait à la prise de décisions et à l'établissement de priorités liées aux technologies de l'information, notamment dans le domaine de la sécurité des technologies de l'information. Les initiatives prioritaires pertinentes dans ce domaine comprennent de sécuriser le périmètre du réseau du gouvernement, de mettre en œuvre des profils de sécurité aux terminaux et d'adopter une approche systématique pour la gestion des correctifs et des vulnérabilités. ^{Note de bas de page 131} Le SCT a également publié la première version du Plan stratégique des opérations numériques en 2018, qui donne des directives aux ministères quant aux priorités liées à la gestion intégrée des services, de l'information, des données, des technologies de l'information et de la cybersécurité. En ce qui concerne la cybersécurité et la cyberdéfense, le plan prévoit l'élaboration d'une approche à niveaux multiples qui comprend des points d'interconnexion fiables pour servir de passerelle vers les services infonuagiques. ^{Note de bas de page 132}

Évolution de la Stratégie de cybersécurité du Canada

88. En 2015, le gouvernement a renouvelé la Stratégie de cybersécurité de 2010. Ce renouvellement a marqué la deuxième phase de la Stratégie et visait à examiner trois difficultés. Tout d'abord, l'environnement de cybermenace stratégique avait considérablement évolué avec l'émergence d'auteurs de cybermenace plus expérimentés et l'augmentation de la prolifération des cyberoutils. Ensuite, la cybersécurité est devenue un enjeu économique d'envergure puisque les auteurs de cybermenace ciblaient de plus en plus les entreprises canadiennes. Enfin, Il existait un besoin grandissant d'assurer la sécurité des Canadiens et des Canadiennes en ligne au moyen de meilleures connaissances sur les technologies numériques et de nouvelles approches relatives à la cybercriminalité. Pour aborder ces difficultés, le gouvernement a financé trois initiatives :

accroître l'analyse et la collecte du renseignement relatif aux cybermenaces pour communiquer de l'information concernant les menaces avec les intervenants chargés des systèmes du secteur privé et de l'infrastructure essentielle;
nouer un plus grand nombre de partenariats avec des fournisseurs de services de télécommunication afin d'évaluer les cybervulnérabilités et les dépendances de l'infrastructure essentielle;
dédier des ressources de l'application de la loi pour mener des enquêtes et perturber la cybercriminalité de manière plus efficace. ^{Note de bas de page 133}

Ces initiatives relèvent du deuxième et du troisième pilier de la Stratégie de cybersécurité de 2010 (nouer des partenariats pour protéger les cybersystèmes essentiels à l'extérieur du gouvernement fédéral, et aider les Canadiens et les Canadiennes à se protéger en ligne), qui avaient reçu moins de financement. Du financement a également été spécialement consacré à la résolution des lacunes en matière de sécurité relevées à la suite de la cyberattaque de la Chine centre le Conseil national de recherches en 2014 (voir l'étude de cas 4). ^{Note de bas de page 134}

89. En juin 2018, le gouvernement a annoncé la nouvelle Stratégie nationale de cybersécurité. La Stratégie de 2018 était axée sur une évaluation à l'échelle du gouvernement de la Stratégie de 2010 et comprenait les commentaires d'experts du secteur privé, d'organismes de l'application de la loi et d'universitaires. La Stratégie de 2018 présentait trois objectifs à atteindre pour assurer la sécurité et la prospérité à l'ère numérique :

des systèmes canadiens sécuritaires et résilients : vise à améliorer la capacité du gouvernement de protéger les Canadiens et les Canadiennes centre la cybercriminalité; d'intervenir face aux cybermenaces changeantes et de défendre les systèmes essentiels du gouvernement et du secteur privé;
un écosystème du cyberespace novateur et adaptable : vise à appuyer la recherche, à favoriser l'innovation et à développer des compétences en matière de cybersécurité de sorte que le Canada soit reconnu comme étant un chef de file mondial en matière de cybersécurité;
une direction, une gouvernance et une collaboration efficaces : vise à faire progresser la cybersécurité et la collaboration avec les alliés pour façonner l'environnement de cybersécurité international en la faveur du Canada. ^{Note de bas de page 135}

Les investissements du budget de 2018 en matière de cybersécurité, qui s'élevaient à 508 millions de dollars sur cinq ans, puis à 109 millions de dollars par année par la suite, tenaient compte des objectifs et des initiatives clés de la Stratégie de 2018. Plus particulièrement, le CST a reçu 155 millions de dollars sur cinq ans, puis 45 millions de dollars par année par la suite, pour mettre sur pied un nouveau centre pour la cybersécurité.

90. En réponse, le gouvernement a créé le Centre canadien pour la cybersécurité (CCC) en octobre 2018. Ce changement a permis de regrouper les rôles et les responsabilités de certaines cyberorganisations fédérales, com me le programme de sécurité des technologies de l'information du CST, les campagnes de sensibilisation du public et le Centre canadien de réponse aux incidents cybernétiques de sécurité publique Canada, ainsi que certaines fonctions du Centre des opérations de sécurité de SPC. Voici les quatre principales responsabilités du CCC :

informer la population canadienne des questions en matière de cybersécurité, notamment les menaces à la cybersécurité;
protéger les intérêts du Canada en formulant des conseils, en offrant de l'aide et en collaborant avec des partenaires au Canada et a l'étranger;
défendre les réseaux et les systèmes pour lesquels Il a une notoriété;
développer et perfectionner les connaissances, le personnel et les compétences nécessaires afin d'améliorer en continu la cybersécurité pour les Canadiens et les Canadiennes ^{Note de bas de page 136} .

Le CCC est destiné à servir d'unique source gouvernementale de conseils, d'orientation, de services et de soutien pour les questions opérationnelles relatives à la cybersécurité. Il agit à titre de responsable opérationnel du gouvernement face aux événements de cybersécurité et a pour but de mieux cibler et coordonner les interventions du gouvernement face aux cyberincidents et aux cybermenaces; d'améliorer la coordination des activités en matière de cybersécurité du gouvernement; et d'accroitre l'efficacité des échanges d'information entre le gouvernement et les partenaires du secteur privé.

91. La Stratégie de 2018 comprend des initiatives liées à la protection de l'infrastructure essentielle du Canada. Dans le cadre du plan d'action sur cinq ans de la Stratégie, le CCC doit renforcer ses partenariats avec les responsables et les exploitants de l'infrastructure essentielle dans les secteurs des financés et de l'énergie pour permettre l'échange de connaissances et de capacités en matière de cybersécurité et ainsi assurer une meilleure défense contre les cybermenaces avancées ^{Note de bas de page 137} . De son côté, Sécurité publique Canada doit mettre en place une approche de gestion du risque exhaustive permettant aux responsables et aux exploitants de mieux sécuriser leurs systèmes et leurs informations. Enfin, la Stratégie prévoit du financement pour que le SCRS augmente le nombre d'activités de collecte du cyberrenseignement et d'évaluation des cybermenaces afin de mieux comprendre la situation en matière de cybersécurité et de fournir des conseils au gouvernement concernant les questions pertinentes sur le plan de la cybersécurité ^{Note de bas de page 138} .

92. Le cadre du gouvernement entourant les activités de cyberdéfense continue d'évoluer. En juin 2019, la Loi sur le Centre de la sécurité des télécommunications a reçu la sanction royale, entraînant d'importants changements au mandat, aux pouvoirs, aux immunités et à la surveillance du CST, y compris dans les domaines directement liés à la cyberdéfense. En avril 2020, le Conseil du Trésor a publié sa Politique sur les services et le numérique, établissant les règles selon lesquelles le gouvernement doit gérer la prestation des services, l'information et les données, les technologies de l'information et la cybersécurité à l'ère numérique. Ces changements seront abordés dans les prochaines parties sur le SCT et le CST, respectivement.

Notes de bas de page

Note de bas de page 102

Loi sur la défense nationale, L.R.C. (1985), ch. 95, paragraphes 273.64(1) et 273.64(2) (avant l'adoption du projet de loi C-59 et de la Loi sur le Centre de la sécurité des télécommunications), http://laws-lois.justice.gc.ca/fra/lois/n-5/20181218/P1TT3xt3.html

Retour à la référence de la note de bas de page 102

Note de bas de page 103

Loi sur la défense nationale, L.R.C. (1985), ch. 95, paragraphe 273.65(9) (avant l'adoption du projet de loi C-59 et de la Loi sur le Centre de la sécurité des télécommunications), http://laws-lois.justice.gc.ca/fra/lois/n-5/20181218/P1TT3xt3.html. La Loi limitait explicitement l'application du régime des autorisations ministérielles aux « institutions fédérales », comme définies dans la Loi sur les langues officielles.

Retour à la référence de la note de bas de page 103

Note de bas de page 104

Commissaire du CST, Examen combine des activités du CST dans le cadre des autorisations ministérielles de 2009-2010, 2010-2011 et 2011-2012 sur la mise à l'essai des mécanismes actifs de sécurité réseau et les opérations de cyberdéfense, 31 mars 2015. Les méthodes utilisées pour mettre à l'essai les mécanismes actifs de sécurité réseau dépendaient de cyberoutils connus des pirates informatiques à l'époque, ***

Retour à la référence de la note de bas de page 104

Note de bas de page 105

CST, « Security Posture Assessment », autorisation ministérielle, 23 avril 2002; CST, « Security Posture Assessment: CSE and PCO », autorisation ministérielle, 23 avril 2002; et CST, « Request for Ministerial Authorization. Protection of CSIS Information Systems and Networks », note à l'intention du ministre de la Défense nationale, 25 octobre 2002.

Retour à la référence de la note de bas de page 105

Note de bas de page 106

CST, « Security Posture Assessment: CSIS », autorisation ministérielle, 2 novembre 2002; et CST, « Protection of the Computer Systems or Networks of the Government of Canada (DFAIT) », autorisation ministérielle, 26 mars 2013.

Retour à la référence de la note de bas de page 106

Note de bas de page 107

CST, « Protection of Computer Systems and Networks of the Department of National Defence », autorisation ministérielle, 19 janvier 2004; CST, « Request for Ministerial Authorization. Protection of ONO Computer Systems and Networks », note à l'intention du ministre de la Défense nationale, 19 janvier 2004; et Commissaire du CST, Examen combine des activités du CST au titre des autorisations ministérielles de 2009-2010, 2010-2011 et 2011-2012 sur la mise à l'essai des mécanismes actifs de sécurité réseau et les opérations de cyberdéfense, 31 mars 2015.

Retour à la référence de la note de bas de page 107

Note de bas de page 108

CST, « Request for Ministerial Authorization. Protection of Government of Canada Computer Systems and Networks: Foreign Affairs Canada », note à l'intention du ministre de la Défense nationale, 16 juin 2005; et CST, « Protection of Government of Canada Computer Systems and Networks: Foreign Affairs Canada », autorisation ministérielle, 22 juin 2005.

Retour à la référence de la note de bas de page 108

Note de bas de page 109

CST, « Request for Ministerial Authorization: Protection of Government of Canada Computer Systems and Networks. Communications Security Establishment », note à l'intention du ministre de la Défense nationale, juin 2006; et CST, « Protection of Government of Canada Computer Systems and Networks », autorisation ministérielle, 13 juin 2006.

Retour à la référence de la note de bas de page 109

Note de bas de page 110

Commissaire du CST, Examen combine des activités du CST au titre des autorisations ministérielles de 2009-2010, 2010-2011 et 2011-2012 sur la mise à l'essai des mécanismes actifs de sécurité réseau et Les opérations de cyberdéfense, 31 mars 2015.

Retour à la référence de la note de bas de page 110

Note de bas de page 111

CST, « Request for Ministerial Authorization: Protection of Government of Canada Computer Systems and Networks », note à l'intention du ministre de la Défense nationale, 21 décembre 2007; CST, « Protection of Government of Canada Computer Systems and Networks », autorisation ministérielle, 21 décembre 2007; et SGT, Politique sur la Sécurité, février 2002, http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12322.

Retour à la référence de la note de bas de page 111

Note de bas de page 112

CST, « Request for Ministerial Authorization: Protection of Government of Canada Computer Systems and Networks », note à l'intention du ministre de la Défense nationale, 29 février 2008; et CST, « Defence of Government of Canada Computer Systems and Networks », autorisation ministérielle, 11 mars 2008. SPC, « SC Net Enterprise Internet - 2010 and 2011 », communiqué de la DGDPI du SCT, 24 février 2021.

Retour à la référence de la note de bas de page 112

Note de bas de page 113

SPC, « SC Net Enterprise Internet - 2010 and 2011 », communiqué de la DGDPI du SCT, 24 février 2021

Retour à la référence de la note de bas de page 113

Note de bas de page 114

SCT, « Politique sur la Sécurité », février 2002, http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12322. La politique s'appliquait à tous les ministères énumérés aux annexes I, I.1 et Il de la Loi sur la gestion des finances publiques.

Retour à la référence de la note de bas de page 114

Note de bas de page 115

Bureau du Conseil privé, Protéger une société ouverte : la politique canadienne de sécurité nationale, avril 2004, https://www.publications.gc.ca/collections/Collection/CP22-77-2004F.pdf

Retour à la référence de la note de bas de page 115

Note de bas de page 116

Canada, Stratégie de cybersécurité du Canada: Renforcer le Canada et accroître sa prospérité, 2015.

Retour à la référence de la note de bas de page 116

Note de bas de page 117

Sécurité publique Canada, « Canada's Cyber Security Strategy: Funding Allocations and Accomplishments to Date », 2015.

Retour à la référence de la note de bas de page 117

Note de bas de page 118

Sécurité publique Canada, « Canada's Cyber Security Strategy: Funding Allocations and Accomplishments to Date », 2015.

Retour à la référence de la note de bas de page 118

Note de bas de page 119

Sécurité publique Canada, « Canada's Cyber Security Strategy: Funding Allocations and Accomplishments to Date », 2015.

Retour à la référence de la note de bas de page 119

Note de bas de page 120

CST, « Cyber Threat Evaluation Centre Overview », mars 2015.

Retour à la référence de la note de bas de page 120

Note de bas de page 121

CST, Year Review Cyber Defence Report 2017, 2018.

Retour à la référence de la note de bas de page 121

Note de bas de page 122

Canada, « Plan d'action 2010-2015 de la Stratégie de cybersécurité du Canada », 2013, http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ctn-pln-cbr-scrt/index-fr.aspx'.

Retour à la référence de la note de bas de page 122

Note de bas de page 123

SPC, « Cybersécurité et sécurité de la technologie de l'information », 2015, http://www.canada.ca/fr/services-partages/organisation/cybersecurite-securite-technologie-information.html.

Retour à la référence de la note de bas de page 123

Note de bas de page 124

Sécurité publique Canada, « Update on the Implementation of the 2010 Cyber Security Strategy », 2011.

Retour à la référence de la note de bas de page 124

Note de bas de page 125

Sécurité publique Canada, Progress Report on Canada's Cyber Security Strategy: Horizontal Initiative for 2012-13 and 2013-14, sans date; et Sécurité publique Canada, Horizontal Evaluation of Canada's Cyber Security Strategy. Final Report, 29 septembre 2017.

Retour à la référence de la note de bas de page 125

Note de bas de page 126

Sécurité publique Canada, « Cyber Operations Working Group Terms of Reference », 2010; et Sécurité publique Canada, « Options for Government of Canada: Centralized Cyber Security Functions », 2010.

Retour à la référence de la note de bas de page 126

Note de bas de page 127

CST et Sécurité publique Canada, Memorandum of Understanding Between The Communications Security Establishment Canada and Public Safety Canada Concerning Cyber Security Roles and Responsibilities, 2011.

Retour à la référence de la note de bas de page 127

Note de bas de page 128

Secrétariat du Conseil du Trésor, Government of Canada Information Technology Incident Management Plan, 2009.

Retour à la référence de la note de bas de page 128

Note de bas de page 129

Sécurité publique Canada, Comité de sous-ministres sur la cybersécurité - mandat, mars 2015.

Retour à la référence de la note de bas de page 129

Note de bas de page 130

Sécurité publique Canada, Rapport final de l'Évaluation horizontale de la Stratégie de cybersécurité du Canada, 2017, http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/vltn-cnd-scrt-strtq/index-fr.aspx

Retour à la référence de la note de bas de page 130

Note de bas de page 131

SCT, « Le Plan stratégique de la technologie de l'information du gouvernement du Canada 2016-2020 », 2016, http://www.canada.ca/fr/secretariat-conseil-tresor/services/technologie-information/strategie-technologie-information/plan-strategique-2016-2020.html

Retour à la référence de la note de bas de page 131

Note de bas de page 132

Pour obtenir de plus amples renseignements, consulter le Plan stratégique des opérations numériques de 2018 à 2022 du Secrétariat du Conseil du Trésor, 29 mars 2019, http://www.canada.ca/fr/gouvernment/systeme/gouvernement-num%C3%A9rique/plan-strategique-operations-numerique-2018-2022.html

Retour à la référence de la note de bas de page 132

Note de bas de page 133

Sécurité publique Canada, « Renewal of Canada's Cyber Security Strategy », 20 août 2015.

Retour à la référence de la note de bas de page 133

Note de bas de page 134

Sécurité publique Canada, « Renewal of Canada's Cyber Security Strategy », 20 août 2015.

Retour à la référence de la note de bas de page 134

Note de bas de page 135

Sécurité publique Canada, « Introducing the 2018 National Cyber Security Strategy: Canada's Vision for Security and Prosperity in the Digital Age », sans date.

Retour à la référence de la note de bas de page 135

Note de bas de page 136

CST, « Presentation to Col. Peyton », 10 avril 2018.

Retour à la référence de la note de bas de page 136

Note de bas de page 137

Sécurité publique Canada ,« Plan d'action national en matière de cybersécurité 2019-2024 », 2019, http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntl-cbr-scrt-strtg-2019/ntl-cbr-scrt-strtg-2019-fr.pdf.

Retour à la référence de la note de bas de page 137

Note de bas de page 138

Sécurité publique Canada, « Plan d'action national en matière de cybersécurité 2019-2024 », 2019, http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntl-cbr-scrt-strtg-2019/ntl-cbr-scrt-strtg-2019-fr.pdf

Retour à la référence de la note de bas de page 138

Table des matières

Sélection de la langue

Médias sociaux

Recherche

Recherche et menus

Partie II : Évolution du cadre de cyberdéfense du gouvernement du Canada
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Les premiers temps (de 2001 à 2010)

Mise à l'essai de mécanismes actifs de sécurité réseau et évaluations de la posture

L'origine des activités de défense des réseaux informatiques

Dures leçons apprises en cours de route

Politiques du gouvernement du Canada en matière de cyberdéfense

Établissement de l'entreprise du gouvernement du Canada (de 2010 à 2018)

Stratégie de cybersécurité du Canada de 2010

Renforcer le programme de cyberdéfense du CST

Créer Services partagés Canada

Mettre en oeuvre une gouvernance et des politiques améliorées

Évolution de la Stratégie de cybersécurité du Canada

Partie II : Évolution du cadre de cyberdéfense du gouvernement du Canada Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Les premiers temps (de 2001 à 2010)

Mise à l'essai de mécanismes actifs de sécurité réseau et évaluations de la posture

L'origine des activités de défense des réseaux informatiques

Dures leçons apprises en cours de route

Politiques du gouvernement du Canada en matière de cyberdéfense

Établissement de l'entreprise du gouvernement du Canada (de 2010 à 2018)

Stratégie de cybersécurité du Canada de 2010

Renforcer le programme de cyberdéfense du CST

Créer Services partagés Canada

Mettre en oeuvre une gouvernance et des politiques améliorées

Évolution de la Stratégie de cybersécurité du Canada

Partie II : Évolution du cadre de cyberdéfense du gouvernement du Canada
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques