Partie II : Évolution du cadre de cyberdéfense du gouvernement du Canada
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
68. On peut qualifier l'évolution du cadre de cyberdéfense du gouvernement du Canada comme ayant été non anticipée, réactive, délibérée et planifiée. Des modifications législatives ont établi de nouveaux pouvoirs, qui ont servi de moteur à l'élaboration d'activités visant à renforcer la sécurité des systèmes gouvernementaux et, au bout du compte, à mieux les défendre. Au même moment, les principaux auteurs de cybermenace ont forcé le gouvernement à adapter ses moyens de défense, surtout à la suite de graves cyberincidents ayant causé d'importantes pertes de données et fait ressortir la vulnérabilité de certains ministères ainsi que du gouvernement de manière plus générale. En réponse, le gouvernement a adopté des politiques et des stratégies clés; a investi dans la modernisation des technologies de l'information et des moyens de cyberdéfense; et a mis sur pied des organisations chargées de se pencher sur les faiblesses du système. De ce fait, le gouvernement s'est progressivement écartée de son approche cloisonnée selon laquelle les différents ministères, peu importe leur taille, étaient chargés d'assurer leur propre cyberdéfense; pour plutôt considérer le gouvernement com me étant une « entreprise » au sein de laquelle des organisations précises se chargent de diriger la mise en oeuvre de politiques dans l'ensemble du gouvernement et d'offrir des services de « défense en profondeur » afin de protéger le gouvernement à titre d'organisation.
Les premiers temps (de 2001 à 2010)
69. L'origine de la cyberdéfense au Canada était de nature législative. Le 18 décembre 2001, le Parlement a adopté la Loi antiterroriste. Comme son nom l'indique, la loi a été mise en œuvre en réponse aux attaques terroristes de septembre 2001. Pour le Centre de la sécurité des télécommunications (CST), cela signifiait que son mandat et ses pouvoirs étaient prévus par la loi (la Loi sur la défense nationale) Note de bas de page 102 , lui permettant ainsi d'élargir ses activités liées au renseignement a l'étranger a l'appui, entre autres, de la lutte contre al-Qa·1da. Par le fait même, la loi établissait des pouvoirs généraux permettant au CST d'offrir des conseils, des directives et des services visant à protéger l'information électronique et les infrastructures d'information importantes aux yeux du gouvernement, notamment les autorisations ministérielles pour les activités pouvant mener à l'interception de communications privées. Au fil du temps, ces pouvoirs ont permis au CST de mettre sur pied et de mener des activités de cyberdéfense novatrices sur les systèmes ou les réseaux informatiques du gouvernement, notamment des activités de mise à l'essai de mécanismes actifs de sécurité réseau visant à mesurer l'état de sécurité de certains systèmes et réseaux gouvernementaux, de même que des activités de cyberdéfense visant à protéger certains systèmes et réseaux du gouvernement. Note de bas de page 103
Mise à l'essai de mécanismes actifs de sécurité réseau et évaluations de la posture
70. De 2002 à 2012, le CST a mené des activités de mise à l'essai de mécanismes actifs de sécurité réseau pour les ministères. Dans le cadre de ces activités, le CST s'est servi de diverses méthodes techniques non classifiées pour pénétrer dans les systèmes informatiques d'une organisation gouvernementale et ainsi cerner les vulnérabilités et les faiblesses du réseau, et pour tester la réaction d'un ministère face à une cybermenace active. Ces essais de « pénétration » ont été conçus pour déterminer si un auteur de cybermenace Uoue par le CST) était en mesure d'accéder à un réseau et d'obtenir des documents classifiés ou sensibles qui n'auraient pas dû être accessibles au public. On s'est servi des résultats pour formuler des recommandations visant à remédier aux faiblesses. Note de bas de page 104
71. Le CST a mené ses premières activités en vertu d'autorisations ministérielles en 2002. Il a recherche des vulnérabilités relatives *** a ses propres réseaux, puis mis à l'essai ses réseaux ***, de même que ceux du Bureau du Conseil Privé, pour y déceler des faiblesses. Note de bas de page 105 En novembre 2002 et en avril 2003, le CST a obtenu des autorisations ministérielles de soumettre respectivement les réseaux du Service canadien du renseignement de sécurité (SCRS) et du ministère des Affaires étrangères et du Commerce international à des essais similaires. Des suites de cette expérience, le CST a commencé à se servir véritablement de ses pouvoirs. De 2002 à 2006, le CST a obtenu 11 autorisations ministérielles pour effectuer des activités de mise à l'essai et d'évaluation des systèmes pour les organisations suivantes :
- le ministère de la Défense nationale, y compris *** (octobre 2002);
- la Gendarmerie royale du Canada (juin 2003);
- le Bureau du Conseil privé (novembre 2003);
- l'Agence des douanes et du revenu du Canada (décembre 2003);
- le ministère du développement des ressources humaines (Janvier 2004);
- le ministère de la Défense nationale (Janvier 2004);
- le ministère de l'industrie (mai 2004);
- *** (octobre 2004);
- le CST, y compris les réseaux du Bureau du commissaire du CST (avril 2005);
- le Bureau du Conseil privé (février 2006);
- le ministère de la Défense nationale (février 2006). Note de bas de page 106
Ces activités ont été interrompues en octobre 2006. Lorsqu'elles ont repris en décembre 2007, le CST s'est servi d'une nouvelle approche (paragraphes 74 à 76).
L'origine des activités de défense des réseaux informatiques
72. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] De 2004 à 2006, le CST a commencé à mener des activités qui allaient constituer la base de son programme de cyberdéfense. à la fin de 2003, le ministère de la Défense nationale (MDN) a signalé des intrusions (plus tard, Il a été déterminé qu'il s'agissait de la Russie) dans ses systèmes et a demandé l'aide du CST. En janvier 2004, le CST a demandé une autorisation ministérielle pour mener des activités de mise à l'essai de mécanismes actifs de sécurité réseau sur le réseau du MDN et pour mettre en place des mesures de cyberdéfense visant à cerner les tentatives d'exploitation ainsi qu'à surveiller les activités de l'auteur de cybermenace sophistiqué. Note de bas de page 107 Au cours de la même année, le CST et Affaires étrangères Canada (AEC) ont suivi les tentatives de la Chine visant à compromettre le réseau d'AEC. En juin 2005, le CST a demandé une autorisation ministérielle pour installer des cyberoutils sur les systèmes d'AEC. Note de bas de page 108
73. En 2006, le CST a reçu des autorisations ministérielles pour mener des activités de défense des réseaux informatiques pour les réseaux du MDN (février), les réseaux d'AEC (juin) et ses propres réseaux (juin). Le CST a imputé les attaques de plus en plus sophistiquées contre les réseaux du MDN à la Chine, et les attaques contre les réseaux d'AEC à la Chine et à la Russie. Comme Il l'avait fait *** en 2004, le CST*** a déployé des outils pour renforcer sa capacité de détecter les cyberattaques avancées contre les réseaux du gouvernement, d'intervenir face à ces cyberattaques, et de retracer l'origine (étrangère) des attaques détectées dans le cadre des activités liées au renseignement à l'étranger du CST. Note de bas de page 109 Ainsi ont commencé les activités avancées de défense des réseaux informatiques au sein du gouvernement du Canada, qui sont maintenant appelées les « activités de cyberdéfense ».
Dures leçons apprises en cours de route
74. En octobre 2006, le CST a interrompu toutes ses activités de mise à l'essai de mécanismes actifs de sécurité réseau et de défense des réseaux informatiques. Com me l'a ensuite expliqué le commissaire du CST :
[traduction] Le CST n'a pas respecté toutes les exigences et les conditions prévues par ses autorisations ministérielles pendant la période allant de juin 2005 à octobre 2006. La direction n'a pas suffisamment porté attention aux conditions des autorisations ministérielles, à leur communication et à leur respect. Le cadre de contrôle à l'intention des personnes qui effectuent ces activités n'était pas assez clair, cohérent, exhaustif ou récent. L'ensemble des répercussions de ces enjeux ont fait en sorte de remettre en doute le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la défense nationale par le CST. Note de bas de page 110
Le CST a examiné son programme et a mis en œuvre plusieurs changements au cours de l'année en vue de restructurer ses activités et son cadre stratégique et d'améliorer la surveillance et la responsabilisation du programme.
75. En décembre 2007, le CST a demandé une autorisation ministérielle en vue de reprendre ses activités de mise à l'essai de mécanismes actifs de sécurité réseau. Le CST a laissé tomber les demandes d'autorisation individuelles pour chaque ministère et a adopté une approche globale consistant à obtenir une seule autorisation ministérielle lui permettant de réaliser des évaluations de la sécurité réseau à la demande d'un ministère, conformément à la Politique du gouvernement sur la sécurité du Conseil du Trésor. Note de bas de page 111 Le CST a offert ces services aux ministères jusqu'en 2012, lorsqu'il fut apparent que la valeur relative des essais de pénétration dans les réseaux fût en baisse (le CST était toujours en mesure de pénétrer dans les réseaux des organisations visées). Le CST s'est alors entièrement consacré aux activités de cyberdéfense, dans le cadre desquelles il accomplissait des progrès considérables pour cerner et bloquer des cyberattaques complexes a l'aide de ses méthodes de cyberdéfense.
76. En mars 2008, le ministre de la Défense nationale a approuvé une demande globale semblable visant à obtenir une autorisation ministérielle pour reprendre les activités de défense des réseaux informatiques sur les réseaux du gouvernement afin d'assurer une protection contre le vol de renseignements sensibles par des cyberacteurs sophistiqués. Le CST a constaté que des adversaires très expérimentés, surtout la Chine et la Russie, s'en prenaient à un nombre de plus en plus élevé de ministères. L'autorisation permettait au CST de mener cinq types d'activités de défense des réseaux informatiques :
- analyse d'incidents : mener des enquêtes sur les alertes lorsque le système de détection d'intrusion du CST signale de possibles menaces;
- analyse d'anomalies : créer des profils normalisés des ministères et du trafic sur leurs réseaux en vue de cerner des comportements inhabituels pouvant indiquer des activités malveillantes;
- analyse judiciaire d'intrusions : examiner en profondeur les intrusions malveillantes dans le réseau pour cerner de possibles dommages au réseau du gouvernement;
- signalement d'incidents : formuler des conseils d'atténuation en réponse aux intrusions cernées;
- élaboration d'outils avancés : renforcer les outils de détection d'intrusion classifiés du CST en fonction de l'analyse des cyberactivités malveillantes afin d'améliorer la détection de cybermenaces. Note de bas de page 112
Comme décrit plus loin, ce changement a permis au CST d'installer ses capteurs sur le Réseau de la Voie de communication protégée du gouvernement du Canada et ainsi de regrouper l'accès Internet de plus de 70 ministères. De cette manière, le CST a pu découvrir que la Chine avait porté atteinte à certains ministères et volé d'importantes quantités de données. Cette découverte a entraîné bon nombre de changements au cours des années suivantes (décrits ci-dessous), notamment le fait d'appliquer les mesures de cyberdéfense du CST a un plus grand nombre de ministères. Note de bas de page 113 Pour sa part, le CST continue d'offrir ses activités de défense des réseaux informatiques aux ministères, et ce, en vertu d'autorisations ministérielles successives depuis 2008. Ces activités, aujourd'hui connues sous le nom d'activités de cyberdéfense, sont décrites de manière plus détaillée dans la partie sur le CST (paragraphes 154 a 212).
Politiques du gouvernement du Canada en matière de cyberdéfense
77. De 2001 à 2010, le gouvernement a instauré deux politiques présentant un intérêt particulier pour la cyberdéfense: la Politique du gouvernement sur la sécurité en 2002 et la Politique de sécurité nationale en 2004. La Politique du gouvernement sur la sécurité visait à appuyer l'intérêt national et les objectifs opérationnels du gouvernement du Canada tout en assurant la sécurité des employés et des biens ainsi que la prestation continue des services. Selon la politique, les administrateurs généraux étaient chargés d'assurer la sécurité des employés et des biens sous leur responsabilité, et devaient respecter certaines exigences de base en matière de sécurité établies dans la politique. Parmi les exigences auxquelles les ministères devaient se plier, on comptait la nomination d'un agent de sécurité ministérielle dans le but d'établir un programme de sécurité permettant d'assurer la coordination de toutes les fonctions de la politique, notamment la sécurité des technologies de l'information, le filtrage de sécurité et le contrôle des accès. La Politique du gouvernement sur la sécurité exigeait des ministères qu'ils mettent en place des contrôles de sécurité de référence en matière de technologie de l'information visant à prévenir et à détecter les atteintes aux systèmes de technologie de l'information, à intervenir face à celles-ci et à redresser la situation. Qui plus est, les ministères devaient évaluer périodiquement leurs systèmes de technologie de l'information; surveiller continuellement les activités de ces systèmes pour détecter les anomalies relatives aux niveaux de prestation de services; mettre en place des mécanismes pour intervenir efficacement face aux incidents liés aux technologies de l'information, le cas échéant; et échanger de l'information liée à ces incidents avec les ministères responsables en temps opportun. Note de bas de page 114 Le Conseil du Trésor a modifié la Politique du gouvernement sur la sécurité en 2009, puis une autre fois en 2019, lorsqu'il l'a renommée « Politique sur la sécurité du gouvernement ». La pertinence et l'application actuelles de la politique sont décrites aux paragraphes 103 à 106.
78. La Politique de sécurité nationale du gouvernement prévoyait un cadre stratégique et un plan d'action permettant de veiller à ce que le gouvernement soit prêt à intervenir face à un éventail de menaces envers la sécurité nationale. Selon la politique, les cyberattaques représentent : « un sujet croissant de préoccupation, car elles peuvent avoir un impact sur divers types d'infrastructures essentielles reliées par des réseaux informatiques ». Le document présente également deux initiatives visant à éliminer cette menace: premièrement, améliorer considérablement les analyses des menaces et des vulnérabilités pour les systèmes du gouvernement et renforcer la capacité de défendre les systèmes du gouvernement contre les attaques; deuxièmement, élaborer une Stratégie nationale de cybersécurité. Note de bas de page 115 Ces initiatives ont été financées dans les budgets d’années ultérieures.
Établissement de l'entreprise du gouvernement du Canada (de 2010 à 2018)
79. La période allant de 2010 à 2018 a joué un rôle essentiel dans l'établissement du cadre de cyberdéfense du gouvernement. Pendant cette période, le gouvernement a déployé deux Stratégies nationales de cybersécurité et a alloué une quantité substantielle de financement à la cyberdéfense et à la cybersécurité. Le gouvernement a également apporté d'importants changements à sa structure organisationnelle en créant Services partagés Canada et le Centre canadien pour la cybersécurité (CCC). Au même moment, des cyberattaques d'envergure constituaient d'importants moteurs de changement, notamment le déploiement des capteurs du CST sur les réseaux du gouvernement et le regroupement des points d'accès à Internet et des centres de données du gouvernement. Le gouvernement a également mis en place des mécanismes pour gérer la cyberdéfense et préciser les rôles et les responsabilités des intervenants du cadre de cyberdéfense. Les changements sont décrits ci-dessous.
Stratégie de cybersécurité du Canada de 2010
80. En octobre 2010, le gouvernement a mis sur pied la Stratégie de cybersécurité du Canada dans le but de défendre la population canadienne, les entreprises canadiennes et l'économie centre les cybermenaces. La Stratégie comportait trois piliers :
- sécuriser les systèmes du gouvernement : vise à renforcer la capacité du gouvernement de prévenir et de détecter les cybermenaces, ainsi que d'intervenir face à celles-ci et de redresser la situation;
- nouer des partenariats pour protéger les cybersystèmes essentiels à l'extérieur du gouvernement fédéral : vise à renforcer la cyberrésilience au Canada, notamment pour les secteurs de l'infrastructure essentielle;
- aider les Canadiens et les Canadiennes à se protéger en ligne : vise à favoriser la sensibilisation du public, à informer les Canadiens et les Canadiennes sur les moyens de se protéger en ligne et à renforcer la capacité des organismes d'application de la loi de lutter contre la cybercriminalité. Note de bas de page 116
On a accordé plus de 244 millions de dollars en financement sur cinq ans pour la Stratégie, puis 60 millions de dollars par année par la suite. Note de bas de page 117 Le premier pilier (sécuriser les systèmes du gouvernement) constituait le plus pertinent sur le plan de la cyberdéfense et a permis d'obtenir trois résultats notables : renforcer le programme de cyberdéfense du CST, créer Services partagés Canada et mettre en œuvre une gouvernance et des politiques améliorées. Chacun de ces éléments est abordé ci-dessous.
Renforcer le programme de cyberdéfense du CST
81. Le principal objectif du premier pilier de la Stratégie consistait à accroître les cybercapacités du gouvernement en matière d'enquête, d'analyse du renseignement et de technologie. La majeure partie du financement, c'est-a-dire 205 millions de dollars sur cinq ans (84 % du financement total pour la Stratégie) a été alloué au CST dans le but d'améliorer sa capacité de défendre les réseaux et les systèmes du gouvernement. Le financement a notamment servi à installer de nouveaux capteurs réseau afin de surveiller les réseaux des ministères pour détecter les cybermenaces et automatiquement empêcher les cyberattaques, et à développer des capteurs sur l'hôte, un logiciel conçu pour défendre les appareils individuels du gouvernement. Note de bas de page 118
82. Ces investissements ont permis de nettement améliorer les capacités de cyberdéfense du CST. Avant la mise en œuvre de la Stratégie, le programme de cyberdéfense du CST était axé sur l'intervention face aux incidents et l'atténuation de ceux-ci, ce qui nécessitait un traitement manuel laborieux et l'établissement de rapports ponctuels a l'intention de chaque client. Le déploiement de la défense dynamique basée sur le réseau en 2013 a permis au CST de mieux analyser et surveiller l'information sur les menaces pouvant servir à empêcher de manière proactive que les cyberattaques atteignent les systèmes et les utilisateurs du gouvernement en bloquant les attaques au périmètre du réseau du gouvernement. Les avantages de cet outil ont été soulignés en 2014 lorsque le CST a déployé ses capteurs réseau de défense dynamique sur le Réseau de la Voie de communication protégée de Services partagés Canada à l'appui des mesures prises par le gouvernement en vue d'atténuer une importante cybervulnérabilité (voir l'étude de cas 3 sur Heartbleed). Dans le cadre de la Stratégie, le CST a mis sur pied le Centre d'évaluation des cybermenaces dans le but d'améliorer sa connaissance et sa compréhension des cybermenaces complexes ciblant les systèmes gouvernementaux. Note de bas de page 119 Ainsi, le CST a été en mesure d'assurer un meilleur suivi des cybertendances et des cybermenaces connues et d'établir de meilleurs rapports a cet égard, en plus d'automatiser la découverte des cybermenaces et le déploiement des mesures de cyberdéfense. Note de bas de page 120 L'élaboration du programme de cyberdéfense du CST a contribué à une expansion constante de la visibilité des réseaux du gouvernement pour le CST, tout en diminuant le nombre de tentatives d'exfiltration de données réussies. Note de bas de page 121
Créer Services partagés Canada
83. La création de Services partagés Canada (SPC) a facilité la mise en œuvre des objectifs énoncés dans la Stratégie de cybersécurité du Canada. Note de bas de page 122 Ce changement a grandement contribué à l'évolution de l'architecture de cyberdéfense du gouvernement, puisqu'il a permis de regrouper les ressources en matière de technologie de l'information de 42 ministères (environ 95 % des ressources fédérales) et d'accélérer l'adoption d'une approche d'entreprise en ce qui a trait à la cybersécurité. De manière générale, SPC est chargé de concevoir et de gérer l'infrastructure des technologies de l'information sécuritaire qui protège les données et les biens technologiques du gouvernement; d'élaborer des politiques, des normes, des plans et des modèles en matière de sécurité; et d'offrir des services liés à la sécurité pour la prestation des services du gouvernement. Note de bas de page 123 Dans le cadre de la Stratégie, SPC a amélioré sa capacité en matière de surveillance des menaces, d'évaluation des vulnérabilités et de prestation de services d'informatique judiciaire pour ses 43 principaux partenaires; et a déployé de nouveaux outils pour appuyer la gestion du volume grandissant de cybermenaces (voir la partie sur SPC aux paragraphes 126 à 153). Note de bas de page 124 Il convient de noter que SPC a également regroupe plus de 720 centres de données gouvernementaux en 381 centres, dans le but de passer à quatre centres d'activités régionaux, et a réduit le nombre de points d'accès à Internet d'une centaine à deux - Il prévoit ajouter trois centres régionaux (comptabilisant cinq connexions protégées) et peut-être trois centres internationaux. Le fait de réduire le nombre de points de vulnérabilité a facilité la protection de l'ensemble de la cyberentreprise du gouvernement. Par l'entremise de son Centre de protection de l'information du gouvernement, SPC a assuré la surveillance des menaces, coordonne tous les incidents de sécurité touchant l'infrastructure soutenue par SPC et regroupe les incidents signalés par ses principaux partenaires. La création de SPC et le regroupement des ministères sous un modèle d'entreprise du gouvernement ont permis au gouvernement de mieux connaître les cybermenaces et les vulnérabilités et d'établir des conditions pour assurer un déploiement plus uniforme des capteurs de cyberdéfense avances du CST. Note de bas de page 125
Mettre en oeuvre une gouvernance et des politiques améliorées
84. La gouvernance comptait également parmi les principaux éléments de la Stratégie de cybersécurité de 2010. Avant la création de la Stratégie, la gouvernance de la cyberdéfense était marquée par un manque de clarté concernant les rôles et les responsabilités de même que par un modèle décentralisé et ponctuel selon lequel les sous-ministres devaient se charger individuellement de la cybersécurité et de la cyberdéfense de leurs organisations respectives. Note de bas de page 126 L'un des objectifs de la Stratégie de 2010 consistait à définir clairement les rôles et les responsabilités pour la gestion des cyberincidents. A cette fin, sécurité publique Canada et le CST ont harmonisé leurs responsabilités relatives à la gestion et à la coordination des incidents, faisant en sorte que sécurité publique Canada soit responsable de la gestion de la cybersécurité pour les organisations non fédérales, notamment de la prestation de conseils stratégiques à d'autres niveaux du gouvernement (à l'époque, la Stratégie était axée sur les engagements avec les gouvernements provinciaux et territoriaux) et à des organismes du secteur privé; et que le CST soit responsable de la réalisation des activités liées à la cybersécurité et de la gestion des incidents relatifs aux systèmes gouvernementaux. Note de bas de page 127
85. De son côté, le Secrétariat du Conseil du Trésor du Canada (SCT) a mis sur pied trois comités de gouvernance pour assurer la gouvernance en matière de sécurité des technologies de l'information pour les initiatives horizontales sous le premier pilier de la Stratégie de 2010. Connus comme le groupe tripartite sur la sécurité des technologies de l'information, ces comités étaient composés respectivement de directeurs généraux, de sous-ministres adjoints et de sous-ministres. lls sont décrits plus en détail aux paragraphes 221 à 223. Le SCT a également dirigé l'élaboration d'un plan de gestion des incidents en matière de technologie de l'information améliorée pour permettre au gouvernement d'intervenir de manière plus rapide et cohérente face aux incidents de cybersécurité. Le plan comportait une description des rôles et des responsabilités des ministères quant au signalement des incidents en matière de technologie de l'information et à l'intervention face à ceux-ci; des protocoles horizontaux officiels en matière d'établissement de rapports, d'intervention et d'avertissement; ainsi qu'une liste de dirigeants et de comités de direction désignés avec qui communiquer lorsque les menaces s'intensifient. Note de bas de page 128 La gouvernance de la gestion des incidents a encore évolué en 2015 lorsque le gouvernement a remplacé le plan par un nouveau plan de gestion des événements en matière de cybersécurité (paragraphes 224 a 236).
86. En ayant une compréhension des rôles et des responsabilités et une coordination ministérielle améliorées, le gouvernement a créé certains mécanismes de gouvernance interministériels. Le Comité des sous-ministres sur la cybersécurité constituait le principal mécanisme de gouvernance pour les questions stratégiques, avec l'appui de comités aux niveaux des sous-ministres adjoints et des directeurs généraux. Les trois comités étaient présidés par des cadres supérieurs de sécurité publique Canada et composés de membres de la haute direction du CST, du SCT, de SPC, du SCRS, de la Gendarmerie royale du Canada, du MDN et des Forces armées canadiennes ainsi que du Bureau du Conseil privé. Le Comité des sous-ministres sur la cybersécurité avait pour objectif d'établir une orientation stratégique pour les questions liées à la cybersécurité; de déterminer les priorités liées à la cybersécurité des ministères et organismes membres; et d'examiner les questions émergentes en matière de cybersécurité. Note de bas de page 129 En ce qui concerne les résultats, une évaluation effectuée en 2016 a permis de constater que cette structure de gouvernance était propice à la collaboration, à la coordination et à l'échange d'information entre les organisations participantes, et contribuait a mettre au clair les rôles et les responsabilités des ministères. Toutefois, en l'absence de documentation convenable, l'évaluation n'a pas permis de déterminer la mesure dans laquelle les organismes de gouvernance remplissaient leurs fonctions, comme tenir des réunions régulières. Dans le cadre de l'évaluation, on a également remarqué que l'incertitude quant aux rôles et aux responsabilités persistait, ce qui constituait une source de confusion chez les intervenants des ministères, des organismes et du secteur privé, et que l'échange d'information était fait sur une base sélective ou ponctuelle puisqu'il n'y avait aucune politique en place. Note de bas de page 130
87. Le SCT a appuyé la gouvernance efficace et l'intervention face aux cyberincidents en établissant des normes, des lignes directrices et des politiques opérationnelles. En 2016, le SCT a publié le plan stratégique en matière de technologie de l'information. Ce plan oriente les organisations fédérales en ce qui a trait à la prise de décisions et à l'établissement de priorités liées aux technologies de l'information, notamment dans le domaine de la sécurité des technologies de l'information. Les initiatives prioritaires pertinentes dans ce domaine comprennent de sécuriser le périmètre du réseau du gouvernement, de mettre en œuvre des profils de sécurité aux terminaux et d'adopter une approche systématique pour la gestion des correctifs et des vulnérabilités. Note de bas de page 131 Le SCT a également publié la première version du Plan stratégique des opérations numériques en 2018, qui donne des directives aux ministères quant aux priorités liées à la gestion intégrée des services, de l'information, des données, des technologies de l'information et de la cybersécurité. En ce qui concerne la cybersécurité et la cyberdéfense, le plan prévoit l'élaboration d'une approche à niveaux multiples qui comprend des points d'interconnexion fiables pour servir de passerelle vers les services infonuagiques. Note de bas de page 132
Évolution de la Stratégie de cybersécurité du Canada
88. En 2015, le gouvernement a renouvelé la Stratégie de cybersécurité de 2010. Ce renouvellement a marqué la deuxième phase de la Stratégie et visait à examiner trois difficultés. Tout d'abord, l'environnement de cybermenace stratégique avait considérablement évolué avec l'émergence d'auteurs de cybermenace plus expérimentés et l'augmentation de la prolifération des cyberoutils. Ensuite, la cybersécurité est devenue un enjeu économique d'envergure puisque les auteurs de cybermenace ciblaient de plus en plus les entreprises canadiennes. Enfin, Il existait un besoin grandissant d'assurer la sécurité des Canadiens et des Canadiennes en ligne au moyen de meilleures connaissances sur les technologies numériques et de nouvelles approches relatives à la cybercriminalité. Pour aborder ces difficultés, le gouvernement a financé trois initiatives :
- accroître l'analyse et la collecte du renseignement relatif aux cybermenaces pour communiquer de l'information concernant les menaces avec les intervenants chargés des systèmes du secteur privé et de l'infrastructure essentielle;
- nouer un plus grand nombre de partenariats avec des fournisseurs de services de télécommunication afin d'évaluer les cybervulnérabilités et les dépendances de l'infrastructure essentielle;
- dédier des ressources de l'application de la loi pour mener des enquêtes et perturber la cybercriminalité de manière plus efficace. Note de bas de page 133
Ces initiatives relèvent du deuxième et du troisième pilier de la Stratégie de cybersécurité de 2010 (nouer des partenariats pour protéger les cybersystèmes essentiels à l'extérieur du gouvernement fédéral, et aider les Canadiens et les Canadiennes à se protéger en ligne), qui avaient reçu moins de financement. Du financement a également été spécialement consacré à la résolution des lacunes en matière de sécurité relevées à la suite de la cyberattaque de la Chine centre le Conseil national de recherches en 2014 (voir l'étude de cas 4). Note de bas de page 134
89. En juin 2018, le gouvernement a annoncé la nouvelle Stratégie nationale de cybersécurité. La Stratégie de 2018 était axée sur une évaluation à l'échelle du gouvernement de la Stratégie de 2010 et comprenait les commentaires d'experts du secteur privé, d'organismes de l'application de la loi et d'universitaires. La Stratégie de 2018 présentait trois objectifs à atteindre pour assurer la sécurité et la prospérité à l'ère numérique :
- des systèmes canadiens sécuritaires et résilients : vise à améliorer la capacité du gouvernement de protéger les Canadiens et les Canadiennes centre la cybercriminalité; d'intervenir face aux cybermenaces changeantes et de défendre les systèmes essentiels du gouvernement et du secteur privé;
- un écosystème du cyberespace novateur et adaptable : vise à appuyer la recherche, à favoriser l'innovation et à développer des compétences en matière de cybersécurité de sorte que le Canada soit reconnu comme étant un chef de file mondial en matière de cybersécurité;
- une direction, une gouvernance et une collaboration efficaces : vise à faire progresser la cybersécurité et la collaboration avec les alliés pour façonner l'environnement de cybersécurité international en la faveur du Canada. Note de bas de page 135
Les investissements du budget de 2018 en matière de cybersécurité, qui s'élevaient à 508 millions de dollars sur cinq ans, puis à 109 millions de dollars par année par la suite, tenaient compte des objectifs et des initiatives clés de la Stratégie de 2018. Plus particulièrement, le CST a reçu 155 millions de dollars sur cinq ans, puis 45 millions de dollars par année par la suite, pour mettre sur pied un nouveau centre pour la cybersécurité.
90. En réponse, le gouvernement a créé le Centre canadien pour la cybersécurité (CCC) en octobre 2018. Ce changement a permis de regrouper les rôles et les responsabilités de certaines cyberorganisations fédérales, com me le programme de sécurité des technologies de l'information du CST, les campagnes de sensibilisation du public et le Centre canadien de réponse aux incidents cybernétiques de sécurité publique Canada, ainsi que certaines fonctions du Centre des opérations de sécurité de SPC. Voici les quatre principales responsabilités du CCC :
- informer la population canadienne des questions en matière de cybersécurité, notamment les menaces à la cybersécurité;
- protéger les intérêts du Canada en formulant des conseils, en offrant de l'aide et en collaborant avec des partenaires au Canada et a l'étranger;
- défendre les réseaux et les systèmes pour lesquels Il a une notoriété;
- développer et perfectionner les connaissances, le personnel et les compétences nécessaires afin d'améliorer en continu la cybersécurité pour les Canadiens et les Canadiennes Note de bas de page 136 .
Le CCC est destiné à servir d'unique source gouvernementale de conseils, d'orientation, de services et de soutien pour les questions opérationnelles relatives à la cybersécurité. Il agit à titre de responsable opérationnel du gouvernement face aux événements de cybersécurité et a pour but de mieux cibler et coordonner les interventions du gouvernement face aux cyberincidents et aux cybermenaces; d'améliorer la coordination des activités en matière de cybersécurité du gouvernement; et d'accroitre l'efficacité des échanges d'information entre le gouvernement et les partenaires du secteur privé.
91. La Stratégie de 2018 comprend des initiatives liées à la protection de l'infrastructure essentielle du Canada. Dans le cadre du plan d'action sur cinq ans de la Stratégie, le CCC doit renforcer ses partenariats avec les responsables et les exploitants de l'infrastructure essentielle dans les secteurs des financés et de l'énergie pour permettre l'échange de connaissances et de capacités en matière de cybersécurité et ainsi assurer une meilleure défense contre les cybermenaces avancées Note de bas de page 137 . De son côté, Sécurité publique Canada doit mettre en place une approche de gestion du risque exhaustive permettant aux responsables et aux exploitants de mieux sécuriser leurs systèmes et leurs informations. Enfin, la Stratégie prévoit du financement pour que le SCRS augmente le nombre d'activités de collecte du cyberrenseignement et d'évaluation des cybermenaces afin de mieux comprendre la situation en matière de cybersécurité et de fournir des conseils au gouvernement concernant les questions pertinentes sur le plan de la cybersécurité Note de bas de page 138 .
92. Le cadre du gouvernement entourant les activités de cyberdéfense continue d'évoluer. En juin 2019, la Loi sur le Centre de la sécurité des télécommunications a reçu la sanction royale, entraînant d'importants changements au mandat, aux pouvoirs, aux immunités et à la surveillance du CST, y compris dans les domaines directement liés à la cyberdéfense. En avril 2020, le Conseil du Trésor a publié sa Politique sur les services et le numérique, établissant les règles selon lesquelles le gouvernement doit gérer la prestation des services, l'information et les données, les technologies de l'information et la cybersécurité à l'ère numérique. Ces changements seront abordés dans les prochaines parties sur le SCT et le CST, respectivement.