Partie III : intervenants, autorités et activités clés en matière de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Le Centre de la sécurité des télécommunications

154. Le Centre de la sécurité des télécommunications (CST) est une pièce maîtresse du cadre de cyberdéfense du gouvernement. Le CST recueille des renseignements sur les menaces qui pèsent sur les systèmes et les réseaux du gouvernement, gère un réseau sophistiqué de défense par couches au moyen de capteurs permettant de repérer et de bloquer ces menaces, et prodigue des directives ainsi que des conseils aux organisations gouvernementales (et de plus en plus aux Canadiens et aux organisations du secteur privé) pour les aider à renforcer leurs propres systèmes de sécurité des technologies de l'information. La présente section se penche sur les pouvoirs en vertu desquels le CST se charge de diriger ces activités et sur les mécanismes de gouvernance qui permettent d'assurer un contrôle sur ces activités ainsi que de veiller à ce que le CST rende des comptes au ministre de la Défense nationale. La section se poursuit en abordant les activités de cyberdéfense à proprement parler ainsi que le résultat de ces activités. Pour illustrer les principaux enjeux, le Comité fait référence à des études de cas fondées sur des cyberincidents qui ont réellement eu lieu.

Mandats et pouvoirs du CST en matière de cybersécurité

155. Le 18 décembre 2001, le Parlement a adopté la Loi antiterroriste. Note de bas de page 263 Cette loi modifiait la Loi sur la défense nationale en y incluant la partie V.1, Centre de la sécurité des télécommunications. Pour la première fois, le pouvoir permettant au CST de diriger ses propres activités n'était plus fondé sur la prérogative de la Couronne, mais sur des dispositions législatives. En vertu de cette Loi, le mandat du CST comportait désormais trois volets :

  1. l'acquisition et l'utilisation de renseignements étrangers en conformité avec les priorités du gouvernement en matière de renseignement;
  2. la prestation d'avis, de conseils et de services pour aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement;
  3. la prestation d'assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité.

156. La Loi prévoyait bon nombre de mesures de contrôle et de responsabilisation. En outre, les activités menées au titre des mandats a) et b) ne doivent jamais viser les Canadiens ni les personnes se trouvant en territoire canadien, et le CST est tenu de mettre en place des mesures visant à protéger la vie privée des Canadiens lorsqu'il est question d'utiliser et de conserver des données interceptées. La Loi a également créé un système d'autorisations ministérielles permettant au CST d'intercepter des communications privées aux fins de collecte de renseignements étrangers et de protection des systèmes informatiques du gouvernement du Canada. Note de bas de page 264 Il s'agissait là d'un changement crucial: avant d'obtenir ces autorisations, la capacité du CST à remplir ses mandats en matière de collecte de renseignements étrangers et de protection de l'information était constamment réduite en raison de l'élargissement fulgurant de l'infrastructure mondiale de l'information numérique. Pour être en mesure de mener certaines activités de protection des systèmes et des réseaux du gouvernement. le CST devait obtenir des autorisations ministérielles lorsque certaines conditions étaient respectées. Note de bas de page 265 Le mandat en trois volets ainsi que les autorisations afférentes ont permis au CST de développer et de mener des activités de cyberdéfense novatrices sur les systèmes informatiques et sur les réseaux du gouvernement, notamment des activités de mise à l'essai de mécanismes actifs de sécurité réseau visant à mesurer l'état de sécurité de certains systèmes et réseaux gouvernementaux, de même que des activités de cyberdéfense visant à protéger certains systèmes et réseaux du gouvernement. Note de bas de page 266

157. La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) a reçu la sanction royale le 21 juin 2019. La Loi sur le CST a considérablement modifié la mission du CST sur plusieurs plans, à savoir le mandat, les pouvoirs, les immunités et la surveillance. La Loi a prescrit un mandat global à l'organisme faisant de celui-ci « l'organisme national du renseignement électromagnétique en matière de renseignement étranger et l'expert technique de la cybersécurité et de l'assurance de l'information ». Note de bas de page 267 En outre, la Loi définissait cinq volets du mandat du CST : le renseignement étranger, la cybersécurité et l'assurance de l'information, les cyberopérations défensives, les cyberopérations actives et l'assistance technique et opérationnelle. Note de bas de page 268 Les volets du mandat du CST qui s'avèrent les plus pertinents dans le cadre du présent examen sont, d'une part, la cybersécurité et l'assurance de l'information et, d'autre part, les cyberopérations défensives.

Cybersécurité et assurance de L'information

158. La Loi sur le CST établit le mandat du CST dans la sphère de la cybersécurité et de l'assurance de l'information. Ce mandat consiste à fournir des conseils, des avis et des services visant à protéger non seulement les informations électroniques et les infrastructures de l'information des institutions fédérales, mais aussi celles des organisations non fédérales qui sont jugées comme étant importantes pour le gouvernement du Canada. Note de bas de page 269 La loi active les mandats en matière de cybersécurité et d'assurance de l'information en autorisant le CST à acquérir, à utiliser et à analyser les données tirées de l'infrastructure mondiale de l'information (p. ex. Internet et les systèmes de communication mobiles) par voie d'autorisations ministérielles ou par d'autres sources (p. ex. informations accessibles au public), ce qui permet à l'organisme d'offrir des conseils, des avis et des services. Note de bas de page 270 En Termes pratiques, cela signifie que l'information acquise dans le cadre du volet du renseignement étranger du CST peut être utilisée pour soutenir les volets de la cybersécurité et de l'assurance de l'information du CST, notamment l'acquisition et l'utilisation de l'information provenant des réseaux et des dispositifs informatiques du gouvernement.

159. Les autorisations ministérielles sont des éléments clés de ce volet. Ces autorisations permettent au CST, nonobstant les dispositions des autres lois du Parlement, d'accéder à une infrastructure de l'information d'une institution fédérale ou d'une organisation non fédérale désignée comme étant d'importance pour le gouvernement, ou à acquérir de l'information qui provient ou passe par cette infrastructure, qui y est destinée ou y est stockée afin d'aider à protéger cette infrastructure(dans ce contexte, contre tout méfait, toute utilisation non autorisée ou toute perturbation de leur fonctionnement). Note de bas de page 271 Pour ce qui concerne les organisations non fédérales, le CST est autorisé à accéder à leurs systèmes pour ces motifs, mais uniquement si lesdites organisations ont d'abord été désignées, par voie d'arrêté ministériel, comme étant d'importance pour le gouvernement du Canada, et lorsque les propriétaires ou les opérateurs de ces organisations non fédérales ont demandé par écrit l'assistance du CST.

Cyberopérations défensives

160. Les cyber opérations défensives sont distinctes des activités menées dans le cadre du mandat en matière de cybersécurité et d'assurance de l'information. D'ailleurs, ces opérations sont d'autant plus risquées en raison de leur nature invasive et potentiellement perturbatrice. Conformément à la Loi sur le CST, en ce qui a trait au volet de son mandat touchant les cyberopérations défensives, le CST mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin d'aider à protéger l'information électronique et les infrastructures de l'information d'importance des institutions fédérales et l'information électronique et les infrastructures de l'information désignées comme étant d'importance pour le gouvernement du Canada. Note de bas de page 272

161. Ainsi, le CST peut mener des cyberopérations défensives pour protéger, contre les cyberattaques, un réseau du gouvernement ou le réseau d'une entité désignée par le ministre. De telles opérations peuvent comprendre ce qui suit :

  • accéder à des portions de l'infrastructure mondiale de l'information;
  • installer, maintenir, copier, distribuer, rechercher, modifier, interrompre, supprimer ou intercepter quoi que ce soit dans l'infrastructure mondiale de l'information ou par son entremise;
  • prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l'activité;
  • mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l'exécution des activités ou des catégories d'activités visées par l'autorisation, Note de bas de page 273

162. Les cyberopérations défensives sont menées au titre d'autorisations ministérielles. Ces autorisations permettent au CST, malgré toute autre loi fédérale ou loi d'un État étranger, de mener, dans l'infrastructure mondiale de l'information ou par son entremise, toute activité précisée dans l'autorisation, dans la réalisation du volet de son mandat touchant les cyberopérations défensives. Note de bas de page 274

Activités autorisées, contraintes, limites et conditions

163. La Loi sur le CST établit un certain nombre de contraintes, de limites et de conditions visant le déroulement des activités menées dans la réalisation des volets du mandat du CST touchant la cybersécurité et l'assurance de l'information, ainsi que les cyberopérations défensives. Premièrement, la Loi sur le CST interdit au Centre de diriger ses activités contre des Canadiens, peu importe où ils se trouvent, ou contre quiconque se trouvant au Canada. Qui plus est, la Loi stipule que les activités du CST ne peuvent porter atteinte aux droits de ces personnes, tel qu'il est énoncé dans la Charte canadienne des droits et libertés. Note de bas de page 275

164. Deuxièmement, pour ce qui a trait aux activités de cybersécurité et d'assurance de l'information ainsi qu'aux cyberopérations défensives, la Loi sur le CST permet au CST de mener les activités ci-après :

  • acquérir, utiliser; analyser, conserver et divulguer de l'information accessible au public;
  • acquérir, utiliser, analyser, conserver et divulguer de l'information sur l'infrastructure à des fins de recherche et de développement ou de mise à l'essai de systèmes, ou pour mener des activités de cybersécurité et d'assurance de l'information dans l'infrastructure à partir de laquelle celle-ci a été acquise - ce qui permet la collecte d'information descriptive sur un réseau (p. ex. sur le plan de la configuration) de sorte à favoriser le déroulement des activités de cybersécurité et d'assurance de l'information;
  • mettre à l'essai ou évaluer des produits, des logiciels et des systèmes, notamment pour des vulnérabilités. Note de bas de page 276

165. Troisièmement, dès lors qu'il est autorisé à mener des activités de cybersécurité et d'assurance de l'information sur un réseau, le CST est en mesure de découvrir ou d'isoler des logiciels malveillants et de les empêcher de causer des dommages ou d'atténuer ceux-ci. Le CST peut également analyser l'information afin d'être en mesure de fournir des conseils sur l'intégrité de la chaîne d'approvisionnement ainsi que sur la fiabilité des télécommunications, de l'équipement et des services. Note de bas de page 277

166. Quatrièmement, les autorisations ministérielles ont un rôle important lorsqu'il s'agit d'autoriser le CST à mener des activités hautement risquées dans ces domaines. Par exemple :

  • Une autorisation ministérielle est exigée pour les activités menées dans la réalisation du volet du mandat du CST touchant la cybersécurité et l'assurance de l'information qui risquent de contrevenir à une loi fédérale; qui visent l'acquisition d'information à partir de l'infrastructure de l'information d'organisations fédérales ou d'organisations non fédérales désignées comme étant d'importance pour le gouvernement; qui porteraient atteinte à une attente raisonnable de protection de la vie privée des Canadiens ou d'une personne se trouvant au Canada, ou qui risquent de contrevenir aux dispositions de la Charte canadienne des droits et libertés. Note de bas de page 278
  • Toutes les activités menées dans la réalisation du volet du mandat du CST touchant les cyberopérations défensives doivent se dérouler au titre d'autorisations ministérielles valides, et de telles autorisations ne peuvent être délivrées que si le ministre a préalablement consulté le ministre des Affaires étrangères. De plus, la Loi sur le CST interdit de diriger des cyberopérations défensives contre tout segment de l'infrastructure mondiale de l'information se trouvant en territoire canadien. Note de bas de page 279

Bien que les cyberopérations défensives doivent toujours être menées au titre d'une autorisation ministérielle, les autres activités (p. ex. la prestation de conseils ou d'avis à l'intention d'un ministère) n'exigent pas ce type d'autorisation, puisqu'elles ne comportent pas le même risque d'enfreindre des dispositions de la Charte canadienne des droits et libertés ou de lois fédérales. Au reste, le rôle des autorisations ministérielles est abordé dans de plus amples détails dans la section suivante, qui porte sur la gouvernance.

Gouvernance des activités de cyberdéfense du CST

167. La Loi sur le CST constitue la pierre d'assise des pouvoirs, des responsabilités et de la gouvernance du CST. Cette Loi énonce quatre grandes catégories d'instruments de gouvernance visant les activités du CST. Les plus pertinentes, pour ce qui a trait à la cyberdéfense, sont les autorisations ministérielles, les arrêtés ministériels ainsi que les politiques et les orientations opérationnelles internes du CST. Chacun de ces instruments est décrit ci-après.

Autorisation ministérielle

168. Les autorisations ministérielles font partie de l'architecture de gouvernance des activités du CST depuis 2001. En vertu de la Loi sur le CST, le ministre de la Défense nationale peut délivrer trois types d'autorisations s'appliquant à la cyberdéfense:

  • Autorisation de cybersécurité - infrastructures fédérales : Ces autorisations permettent au CST d'accéder au réseau d'une organisation fédérale ainsi que d'acquérir et d'utiliser toute information se trouvant dans le réseau aux fins de protection de ces ressources contre les méfaits, les utilisations non autorisées et les perturbations. Le ministre a délivré deux autorisations en vertu de la Loi au cours des exercices 2019-2020 et 2020-2021. Note de bas de page 280
  • Autorisation de cybersécurité - infrastructures non fédérales : Ces autorisations permettent au CST d'accéder au réseau d'une entité non gouvernementale préalablement désignée par le ministre comme étant d'importance pour le gouvernement, ainsi que d'acquérir et d'utiliser toute information se trouvant dans ce réseau aux fins de protection des ressources qu'il comporte contre les méfaits, les utilisations non autorisées et les perturbations. Le ministre n'a délivré qu'une seule autorisation de ce type depuis l'adoption de la Loi sur le CST. Note de bas de page 281
  • Autorisation de cyberopérations défensives : Ces autorisations permettent au CST de mener toute activité-énoncée dans le texte de l'autorisation - sur l'infrastructure mondiale de l'information ou par l'entremise de celle-ci pour contribuer à la protection de l'information électronique et des infrastructures de l'information des institutions fédérales ainsi que de l'information électronique et des infrastructures de l'information désignées comme étant d'importance pour le gouvernement. À ce chapitre, le ministre a délivré deux autorisations ministérielles au cours des exercices 2019-2020 et 2020-2021. Dans le cas de la première autorisation, aucune cyberopération défensive n'a été menée pendant sa durée (ce cas est abordé plus loin). Note de bas de page 282

169. Le ministre ne peut délivrer une autorisation que pour des activités qu'il juge raisonnables et proportionnelles, et si des mesures satisfaisantes sont mises en place pour protéger la vie privée des Canadiens. Conformément aux nouvelles obligations que la Loi sur le CST lui impose, le chef du CST doit soumettre une demande par écrit au ministre, laquelle doit exposer les faits et fournir des descriptions permettant au ministre de conclure qu'il y a des motifs raisonnables de croire que l'autorisation est nécessaire et que les conditions de sa délivrance sont respectées. Note de bas de page 283

170. Toutes les autorisations ministérielles, y compris celles relatives à la cybersécurité et aux cyberopérations défensives, doivent comprendre des éléments d'information particuliers, à savoir :

  • les activités ou les catégories d'activités que le CST est autorisé à mener, et lesquelles de ces activités contreviendraient par ailleurs à toute autre loi fédérale;
  • les personnes ou les catégories de personnes autorisées à mener les activités énoncées dans l'autorisation;
  • les activités autorisées sont raisonnables et proportionnelles compte tenu de la nature de l'objectif à atteindre et des activités à mener;
  • les conditions ou les restrictions que le ministre estime souhaitables dans l'intérêt public ou pour assurer que les activités visées par l'autorisation sont raisonnables et proportionnelles;
  • tout autre élément qui est raisonnable dans les circonstances et est raisonnablement nécessaire afin de faciliter l'exécution des activités ou catégories d'activités autorisées par l'autorisation. Note de bas de page 284

171. Cinq conditions additionnelles doivent être respectées avant que le ministre approuve une autorisation pour la cybersécurité (ces conditions s'appliquent aux systèmes fédéraux ainsi qu'aux systèmes désignés comme étant d'importance) :

  • l'information à acquérir ne sera pas conservée plus longtemps que ce qui est raisonnablement nécessaire; dans le cas des systèmes fédéraux, le consentement des personnes dont l'information peut être acquise ne peut raisonnablement être obtenu et, dans le cas des systèmes non fédéraux. le propriétaire ou l'opérateur du système demande assistance par écrit;
  • l'information à acquérir est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages aux informations électroniques ou aux infrastructures de l'information en question;
  • les mesures que le CST a mises en place pour protéger la vie privée permettront d'assurer que l'information acquise sur les Canadiens ou sur une personne se trouvant au Canada sera utilisée, analysée ou conservée uniquement si elle est essentielle pour découvrir, isoler, prévenir ou atténuer des dommages aux informations électroniques ou aux infrastructures de l'information en question;
  • les conditions ou les termes que le ministre juge nécessaires pour renforcer la protection de la vie privée des Canadiens et des personnes se trouvant au Canada.

Toutes les autorisations ministérielles pour la cybersécurité sont examinées par le commissaire au renseignement pour veiller à ce que les conclusions menant à leur autorisation soient raisonnables. Les autorisations ministérielles n'ont aucun poids juridique tant que le commissaire au renseignement ne les a pas approuvées par écrit. Note de bas de page 285

172. Deux autres conditions doivent être respectées avant que le ministre approuve une autorisation pour les cyberopérations défensives :

  • l'objectif de l'autorisation ne pourrait pas être raisonnablement atteint par d'autres moyens;
  • l'information sera acquise strictement en conformité avec une autorisation existante en vertu de la Loi sur le CST pour le renseignement étranger, la cybersécurité ou une autorisation en cas d'urgence, tel qu'il est indiqué dans la Loi.

De plus, le CST est tenu de ne pas « causer, intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la mort de celle-ci » et de ne pas « tenter intentionnellement de quelque manière d'entraver, de détourner ou de contrecarrer le cours de la justice ou de la démocratie » Note de bas de page 286 . Comme les cyberopérations défensives pourraient impliquer des relations que le Canada entretient avec d'autres États, le ministre de la Défense nationale ne peut délivrer une telle autorisation qu'après avoir consulté le ministre des Affaires étrangères. Note de bas de page 287 Le commissaire au renseignement n'est pas appelé à examiner les autorisations pour les cyberopérations défensives.

173. Les autorisations ministérielles sont valides pour une période maximale d'un an et peuvent être modifiées, sous réserve de certaines conditions. Note de bas de page 288 Le ministre peut également délivrer une autorisation en cas d'urgence - dont la période de validité peut aller jusqu'à cinq jours-pour des activités menées aux fins du volet du mandat du CST touchant la cybersécurité et l'assurance de l'information, et doit informer le commissaire au renseignement de cette autorisation. Après cette période, le CST doit faire appel au ministre pour lui demander une autorisation conforme aux procédures normales - pour peu que le commissaire au renseignement examine et approuve la demande - dans les cas où la validité de l'autorisation doit être maintenue. Note de bas de page 289 .

Directive ministerielle

174. Les activités du CST doivent être conformes aux directives du ministre, et ce, dans les secteurs de la cybersécurité et de l'assurance de l'information ainsi que dans le secteur des cyberopérations défensives. Avant l'adoption de la Loi sur le CST en 2019, le Centre avait reçu des directives ministérielles portant sur les secteurs suivants :

  • les priorités du gouvernement en matière de renseignement;
  • les obligations redditionnelles envers le ministre;
  • la protection de la vie privée des Canadiens;
  • la collecte et l'utilisation des métadonnées;
  • la gestion des relations avec les organisations tierces;
  • la prévention de toute complicité dans les cas de mauvais traitement infligé par des entités étrangères.

Hormis la Directive ministérielle sur les priorités du gouvernement du Canada en matière de renseignement, toutes les directives ministérielles délivrées en vertu de la Loi sur la défense nationale ont cessé d'être en vigueur dès lors que les dispositions de la Loi sur la défense nationale concernant le CST ont été abrogées, le 1er août 2019, et que la Loi sur le CST est entrée en vigueur. La seule directive ministérielle active à laquelle le CST est assujetti (pour ce qui a trait aux priorités du gouvernement du Canada en matière de renseignement) a été délivrée en 2019. Cette directive se fonde sur les priorités en matière de renseignement approuvées par le Cabinet et oriente les efforts du CST vers la collecte et l'échange de renseignements, ainsi que vers la collaboration avec d'autres parties. Elle exige que le CST fasse rapport annuellement au ministre sur les travaux réalisés pour favoriser les priorités. Les cyberopérations et les opérations disposant de cybercapacités constituent l'une des quatre priorités énoncées par la directive. Note de bas de page 290

Arrêté ministériel

175. Le ministre de la Défense nationale peut délivrer deux types d'arrêtés ministériels au CST relativement aux activités de cyberdéfense :

  • un arrêté désignant les appareils, les réseaux et l'information d'une organisation non fédérale, qui sont considérés comme étant d'importance pour le gouvernement du Canada;
  • un arrêté désignant les entités avec lesquelles le CST est autorisé à échanger, s'il y a lieu, de l'information se rapportant à des Canadiens, à des personnes se trouvant au Canada ou à des entreprises canadiennes, dans le but de protéger l'information et les systèmes des organisations fédérales ou de l'infrastructure essentielle. Note de bas de page 291

Désignation d'organisations non fédérales comme étant d'importance pour le gouvernement

176. La Loi sur le CST stipule que le ministre peut délivrer un arrêté ministériel visant à désigner comme étant d'importance pour le gouvernement du Canada toute information électronique ou toute infrastructure de l'information. Ce qui signifie que là où se trouvent de l'information électronique ou des infrastructures d'information ne faisant pas partie d'institutions fédérales (p. ex. un réseau de recherche ou un aspect de l'infrastructure essentielle), le ministre peut désigner ces informations et ces infrastructures comme étant d'importance pour le gouvernement du Canada, permettant ainsi au CST de leur offrir des services. Là où ces services risquent de contrevenir à une loi fédérale (p. ex. le Code criminel ou d'enfreindre les dispositions de la Charte canadienne des droits et libertés, le CST doit obtenir une autorisation ministérielle lui permettant de mener des activités de cyberdéfense visant à protéger ces systèmes désignés. Note de bas de page 292

177. Le ministre de la Défense nationale a délivré deux arrêtés visant à désigner certaines catégories d'information électronique et d'infrastructures de l'information comme étant d'importance pour le gouvernement : le premier en juillet 2019, abrogé puis mis à jour en août 2020. L'arrêté n'a aucune date d'expiration et comprend ce qui suit :

  • les 10 secteurs de l'infrastructure essentielle du Canada : les gouvernements (fédéral, provinciaux, territoriaux, municipaux et autochtones), l'énergie et les services publics, les technologies de l'information et des communications, les finances, l'alimentation, la santé, l'eau, les transports, la sûreté et l'industrie;
  • l'information relative au mieux-être des Canadiens et l'infrastructure qui la contient légalement;
  • les entités qui prennent part à la protection de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement;
  • les organismes multilatéraux qui se trouvent en territoire canadien et dont le Canada est membre;
  • les partis politiques canadiens provinciaux, territoriaux et fédéraux qui sont enregistrés ainsi que leur information électronique et leurs infrastructures de l'information;
  • les établissements d'enseignement postsecondaire. Note de bas de page 293

178. L'arrêté n'oblige pas le CST à offrir des conseils, des avis ou des services aux entités faisant partie de ces secteurs. Le CST doit plutôt recevoir une demande d'assistance de la part de ces entités, puis il doit tenir compte de plusieurs facteurs avant de déterminer si l'entité demanderesse fait partie ou non de l'une des catégories désignées par le ministre. Note de bas de page 294 Dès lors qu'il est en mesure d'établir qu'une organisation non fédérale constitue une entité faisant partie de l'une des catégories désignées par le ministre, le CST peut ensuite offrir des conseils, des avis et des services destinés à protéger ladite entité contre les cyberattaques. Or, s'il détermine que le déploiement de ses capteurs de cyberdéfense ou la conduite de cyberopérations défensives seraient nécessaires à la protection de l'entité en question (ou du secteur d'activité), le CST doit demander une autorisation ministérielle. Note de bas de page 295 Au mois de mai 2021, le CST avait déployé, au titre d'une autorisation ministérielle, des capteurs de cyberdéfense pour une organisation non fédérale reconnue comme étant visée par le premier arrêté ministériel, et ce, pour défendre l'entité en question contre une attaque lancée par *** un acteur étatique (voir l'étude de cas n°2).

Etude de cas n°2 : Recours à un nouveau pouvoir

[*** Trois paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée.***]En 2019, le CST a détecté des efforts déployés par un état en vue de compromettre le réseau d'une entreprise canadienne. Note de bas de page 296 L'état était connu pour ses attaques poussées contre des cibles occidentales. Le CST a indiqué que l'entreprise était une organisation qui fournissait des services à un certain nombre de clients de l'infrastructure essentielle et a officiellement désigné l'entreprise comme constituant un système d'importance pour le gouvernement, conformément à l'arrêté ministériel du ministre.

Le CST a bloqué la cyberactivité de l'état sur tous les réseaux du gouvernement et a conclu que les ministères n'avaient pas été touchés. Le CST a informé l'entreprise de la compromission et, en réponse à sa demande d'aide, a travaillé avec l'entreprise pour mettre fin à l'attaque.

Cette étude de cas représente le premier recours à ce nouveau pouvoir que le CST avait acquis à peine quelques mois plus tôt. À ce stade, le Comité est réticent à tirer des conclusions définitives, mais il note tout de même deux difficultés. En premier lieu, cet incident montre que les pouvoirs doivent être assez souples pour permettre d'intervenir en cas de nouvelle difficulté. Le CST avait d'ailleurs noté que ce type de déploiement n'était pas prévu au moment où la loi a été rédigée; le pouvoir avait plutôt pour objet de donner lieu à une collaboration proactive sur le long terme avec les organisations non fédérales, particulièrement les entreprises de télécommunications. Néanmoins, le pouvoir en question a permis au CST de réagir à une attaque sophistiquée dirigée contre une entreprise qui fournissait de précieux services à l'infrastructure essentielle, y compris au gouvernement.

En second lieu, l'incident met en évidence l'importance de la rapidité d'intervention. Il s'est écoulé du temps entre le moment où le CST a détecté les cyberactivités douteuses et le moment où il a pu aider l'entreprise à appliquer les mesures de protection, puis obtenir l'approbation ministérielle d'aider. Le présent constat n'est nullement une critique : au reste, le seul fait que le CST a été en mesure de reconnaitre l'attaque constitue une preuve qu'il exerce une surveillance accrue sur les menaces pouvant cibler le Canada. En revanche, force est de constater que de telles attaques nécessitent d'intervenir « à la vitesse du cyberespace ». Un auteur de menace perfectionné peut compromettre un système, voler des données ou miner les fonctionnalités d'un système à une vitesse inquiétante. Le gouvernement doit donc continuer d'envisager des moyens pragmatiques suivant lesquels le CST pourra répondre aux nouvelles cybermenaces tout en garantissant des contrôles ministériels rigoureux et une responsabilisation acceptable.

Désignation des destinataires d'informations nominatives se rapportant à des Canadiens ou à des entreprises canadiennes

179. La Loi sur le CST stipule que le ministre peut délivrer un arrêté visant des personnes et des catégories de personnes désignées auxquelles le CST peut communiquer de l'information qui pourrait être utilisée pour identifier un Canadien ou une personne se trouvant au Canada. Dans le contexte des activités de cyberdéfense, le CST peut procéder à cette communication dans la mesure où celle-ci est nécessaire à la protection de l'information électronique et des infrastructures de l'information des organisations fédérales ou des organisations non fédérales désignées par le ministre comme étant d'importance pour le gouvernement. En définitive, le CST peut divulguer de l'information si celle-ci a été acquise, utilisée ou analysée au cours d'activités menées dans le cadre du volet du mandat du CST touchant la cybersécurité et l'assurance de l'information, ce qui comprend les communications privées interceptées durant ces activités. Note de bas de page 297

180. Le ministre de la Défense Nationale a délivré deux arrêtés visant à désigner certaines catégories de personnes destinées à recevoir des informations communiquées par le CST et se rapportant à des Canadiens ou à des personnes se trouvant au Canada : le premier en juillet 2019, abrogé puis mis à jour en août 2020. L'arrêté n'a aucune date d'expiration et désigne plusieurs personnes et catégories de personnes à qui il est possible de communiquer des informations, à condition que la communication de ces informations soit nécessaire à la protection de l'informations électronique et des infrastructures de l'information des institutions fédérales ou de celles des systèmes désignés comme étant d'importance pour le gouvernement. Les entités visées par cet arrêté sont les suivantes :

  • les propriétaires ou les administrateurs de systèmes ou de réseaux informatiques employés par le gouvernement ou par toute organisation non fédérale désignée comme étant d'importance pour le gouvernement;
  • les personnes ou les catégories de personnes qui travaillent sous l'autorité d'institutions fédérales exerçant un mandat de coordination de la cyberdéfense ou d'atténuation, dans la mesure où ces personnes doivent, en considération de besoins opérationnels, disposer desdites informations (p. ex. SPC, le Service canadien du renseignement de sécurité, la Gendarmerie royale du Canada);
  • les personnes ou les catégories de personnes autorisées faisant partie d'entités étrangères avec lesquelles le CST a conclu des ententes, y compris les partenaires du Groupe des cinq, *** ainsi que les équipes étrangères d'intervention en cas d'incident de sécurité informatique;
  • les organisations étrangères ou nationales de cybersécurité qui contribuent à la protection de l'information électronique ou des infrastructures de l'information d'importance pour le gouvernement ainsi que les entités qui participent à la recherche et au développement en matière de cybersécurité, avec lesquelles le CST a conclu des partenariats. Note de bas de page 298

Politiques opérationnelles internes

181. Les politiques opérationnelles internes du CST sont aussi désignées sous l'appellation « Ensemble des politiques sur la mission ». La section, Cybersécurité de l'Ensemble des politiques sur la mission énonce les principes et les exigences stratégiques qui visent à guider les membres du personnel œuvrant sous le volet de la cybersécurité et de l'assurance de l'information du mandat du CST, pour qu'ils soient en mesure d'exercer leurs activités en toute légalité. Toute l'information que le CST acquiert sous le volet de la cybersécurité et de l'assurance de l'information de son mandat sont traitées conformément à !'Ensemble des politiques sur la mission. Note de bas de page 299

182. Plus spécifiquement, la section Cybersécurité de l'Ensemble des politiques sur la mission régit l'acquisition, l'utilisation (analyse), la conservation et la communication de l'information dans le cadre des opérations du CST. La politique se penche également sur quatre secteurs cruciaux pour la réalisation des -activités de cyberdéfense :

  • l'autorisation du CST (et du CCC) à mener des activités touchant au volet de la cybersécurité et de l'assurance de l'information du mandat du CST;
  • les principes stratégiques centraux que le CST est tenu de suivre lorsqu'il exerce ses activités touchant le volet de la cybersécurité et de l'assurance de l'information du mandat - légalité, nécessité et raisonnabilité, protection de la vie privée ainsi que transparence et responsabilisation;
  • l'information électronique et les infrastructures de l'information d'importance (également désignées sous l'appellation « systèmes d'importance »);
  • les exigences en matière de responsabilisation s'appliquant au personnel du CCC appelé à travailler en soutien au mandat de cybersécurité. Note de bas de page 300

183. La section Cybersécurité de l'Ensemble des politiques sur la mission donne plus de détails sur les divers secteurs stratégiques, les obligations juridiques, ainsi que les procédures et les processus opérationnels que le CST doit suivre dans l'exercice de ses activités de cybersécurité et d'assurance de l'information. La politique a pour objet de renforcer les mesures de protection de la vie privée, de gérer les risques opérationnels, et d'accroître la raisonnabilité et la proportionnalité des activités du CST. Selon l'Ensemble des politiques sur la mission, plusieurs mesures de contrôle peuvent s'appliquer aux activités du CST, à savoir:

  • approbations de niveau supérieur : employées en guise de mesures de contrôle des risques, les approbations de niveau supérieur pourraient être requises pour les activités de cyberdéfense pouvant poser des risques pour le gouvernement du Canada sur les plans juridique et opérationnel, et sur le plan de la protection de la vie privée, des partenariats et de la réputation;
  • marquage et suivi de l'information : l'information acquise par le CST ou communiquée au CST est marquée pour en indiquer l'origine ainsi que les exigences concernant son accès, son utilisation et son traitement. Une fois marquée, l'information est suivie tout au long de son cycle de vie, dans le but d'en contrôler l'accès, la conservation et l'élimination, les limites relatives à l'utilisation, et la communication. De plus, le marquage et le suivi de l'information aident le CST à remplir ses obligations relativement à l'autorisation ministérielle.

La section Cybersécurité de l'Ensemble des politiques sur la mission établit également les périodes durant lesquelles le CST peut conserver l'information; fournit un guide pour les équipes du CST chargées de la conformité pour veiller à ce que le personnel opérationnel élimine les données conformément au calendrier de conservation et d'élimination; décèle les occurrences où les renseignements concernant un Canadien doivent être supprimés; et fournit des contrôles de la diffusion et des permissions visant à limiter l'accès à l'information particulièrement sensible (p. ex. rapports de cyberdéfense ou de renseignement fondés sur des sources hautement sensibles). Note de bas de page 301 L'Ensemble des politiques sur la mission exige aussi que le CST obtienne le consentement d'une institution fédérale ou d'une organisation non fédérale désignée comme étant d'importance pour le gouvernement avant de déployer ses capteurs au profit de ces entités. Toutes les exigences stratégiques énoncées dans l'Ensemble des politiques sur la mission sont inscrites dans les autorisations ministérielles remises au CST.

Activités de cyberdéfense du CST

184. Relevant du CST, le CCC constitue la source centrale faisant autorité en matière de cybersécurité au Canada. Le CCC a été créé en 2018 moyennant la fusion de trois entités : la Direction générale de la sécurité des technologies du CST, le Centre canadien de réponses aux incidents cybernétiques de Sécurité publique Canada et le Centre des opérations de sécurité de Services partagés Canada. Le CCC est chargé de diriger les interventions du gouvernement en cas d'événements de cybersécurité, et de garantir la protection ainsi que la défense des biens informatiques du Canada en donnant des conseils et des avis ciblés ainsi qu'en prodiguant de l'assistancedirecte. Note de bas de page 302 Dans le cadre de ce mandat élargi, le CST et le CCC dirigent les activités relevant spécifiquement de la cyberdéfense. En voici un bref énoncé :
  • fournir des conseils et des avis aux ministères du gouvernement et aux partenaires non gouvernementaux;
  • employer des capteurs de cyberdéfense sur les réseaux du gouvernement, y compris la surveillance, la détection et l'intervention liées aux cyberincidents;
  • employer des capteurs de cyberdéfense sur les réseaux non gouvernementaux; diriger des cyberopérations défensives.

Les deux premiers éléments sont de loin les plus courants. En outre, l'installation de capteurs de cyberdéfense sur les réseaux non gouvernementaux et la direction de cyberopérations défensives découlent, quant à elles, des nouveaux pouvoirs confiés au CST en 2019, lesquels n'ont pas encore été largement utilisés. Chacune des activités est décrite ci-après. fournir des conseils et des avis aux ministères du gouvernement et aux partenaires non gouvernementaux; employer des capteurs de cyberdéfense sur les réseaux du gouvernement, y compris la surveillance, la détection et l'intervention liées aux cyberincidents; employer des capteurs de cyberdéfense sur les réseaux non gouvernementaux; diriger des cyberopérations défensives.

Conseils et orientations

185. Les conseils et les orientations du CST se répartissent dans trois catégories. La première relève du rôle d'autorité dirigeante. En vertu de la Politique sur la sécurité du gouvernement du Conseil du Trésor, le CST constitue le principal organisme de sécurité ainsi que l'autorité nationale en matière de sécurité des communications. À ce titre, le CST donne des directives en matière de technologies de l'information aux ministères assujettis à la politique de mise en œuvre des normes et des pratiques garantissant la protection de l'information et des données classifiées, et permettant de sécuriser ou d'authentifier l'information provenant des télécommunications. Le CST a formulé 11 de ces directives entre 2012 et 2019. Note de bas de page 303 Ces directives doivent être suivies et mises en œuvre par les ministères concernés.

186. La deuxième porte sur les alertes et les avis ainsi que les conseils personnalisés en matière de technologie de l'information à l'intention d'organisations. Ces alertes et ces avis sont fournis aux ministères, aux fournisseurs de services essentiels et aux entités du secteur privé. Ces documents couvrent une vaste gamme de sujets, notamment les avis de vulnérabilité des systèmes de contrôle de l'infrastructure essentielle, les avertissements de vulnérabilité des navigateurs Web et la diffusion des mises à jour non classifiées de l'appareil du renseignement concernant le ciblage des réseaux du gouvernement et de l'infrastructure essentielle par des auteurs de menace persistantes avancées qui sont parrainés par des États. Les organisations à qui sont destinés les alertes et les avis peuvent utiliser l'information pour appliquer des mesures concrètes visant à défendre leurs systèmes. Entre décembre 2013 et mai 2021, le CST a publié 1 721 alertes et avis publics. Note de bas de page 304

187. La troisième catégorie de conseil et d'orientation consiste en des rapports de cyberdéfense et des évaluations de la menace. La portée, le sujet et le niveau de classification de ces documents peuvent varier. En outre, ces rapports et ces évaluations sont rédigés à l'intention de divers auditoires du gouvernement et du public dans le but d'accroître la sensibilisation à l'égard de l'environnement des cybermenaces. La nature de ces documents est également variable, dans la mesure où ils peuvent se décliner sous diverses formes, notamment les évaluations stratégiques (l'évolution de l'environnement des cybermenaces, les activités de certains États) ou les rapports opérationnels (aperçu des menaces posées par certains événements de cybersécurité ou par des vulnérabilités), dont l'objet est d'assister les ministères dans la gestion des mécanismes de défense de leurs systèmes. Note de bas de page 305

Capteurs du CST pour la cyberdéfense

188. Le CCC a créé trois types de capteurs pour la cyberdéfense. Il s'agit des capteurs réseau, des capteurs sur l'hôte et des capteurs infonuagiques. Décrits en détail plus loin, ces capteurs constituent un complément aux mécanismes commerciaux comme les logiciels antivirus ou les coupe-feux et tiennent principalement deux rôles : reconnaître les cyberactivités malveillantes dirigées contre les réseaux du gouvernement et d'organisations non fédérales désignées comme étant d'importance pour le gouvernement, et défendre ces réseaux contre les cyberattaques. Note de bas de page 306 Là où ils sont déployés, les capteurs du CST forment une couche défensive qui surveille constamment les systèmes et les réseaux informatiques à divers niveaux, bloque les menaces connues et reconnaît les anomalies. L'information sur les anomalies est saisie dans des systèmes d'analyse sophistiqués permettant de repérer les cybercomportements malveillants qui n'étaient pas encore connus. Cette information est ensuite réintroduite dans chacun des capteurs, comme nouveaux éléments de détection de cyberactivité malveillante. Note de bas de page 307

189. Les capteurs du CST pour la cyberdéfense emploient *** méthodes pour la reconnaissance des activités de cybermenace, notamment [*** Deux puces ont été revues pour retirer l'information préjudiciable ou privilégiée. ***] :

  • Reconnaissance de la menace : Lorsque les menaces sont détectées dans un réseau ou dans des données que le CST obtient par l'intermédiaire de ses capteurs, une alerte est générée. En fonction de la nature de l'alerte et du type de menace, une mesure d'atténuation peut être déclenchée ou encore, ce sont les analystes du CST qui peuvent procéder à une analyse supplémentaire visant à déterminer les prochaines étapes.
  • Détection de schème : Le CST identifie les schèmes de comportement pouvant annoncer une cyberactivité malveillante en prenant note des activités particulières (dans le réseau, sur l'hôte ou dans le nuage) qui sont contraires aux comportements attendus ou normaux. Le CST peut appliquer des mesures défensives d'atténuation en fonction des comportements types détectés. Note de bas de page 308

190. Chaque capteur permet au CST de prendre des mesures d'atténuation visant à détecter ou à contrer une cybermenace. Les mesures d'atténuation peuvent être exécutées manuellement par un analyste du CST qui applique des contrôles interactifs, ou automatiquement grâce à des mécanismes de défense dynamique. En effet, après vérification, les déclencheurs configurés réagissent à la présence de cyberactivités. Les mesures d'atténuation peuvent se traduire par le blocage des connexions malveillantes à la passerelle ou par la suppression d'un maliciel sur un ordinateur. Note de bas de page 309 L'information permettant de détecter de nouvelles menaces peut également être relayée par les partenaires et les clients du CST, qu'ils soient gouvernementaux ou non gouvernementaux.

191. Le déploiement de capteurs de défense se déroule en deux étapes. La première consiste à se faire octroyer l'accès au réseau. Conformément aux pouvoirs conférés aux diverses organisations en vertu de la Loi sur la gestion des finances publiques, le CST ne peut déployer ses capteurs que s'il a obtenu le consentement éclairé de la part du propriétaire du système ou du réseau. En accordant cet accès, le propriétaire du système donne au CST la permission d'accéder au réseau et aux informations électroniques qu'il contient.

192. La seconde étape consiste à acquérir l'information. Les capteurs du CST procèdent donc à l'acquisition de données sur les cybermenaces pouvant se trouver sur le réseau ou le système en question. Comme le CST ne connaît pas d'avance la nature des menaces qui pourraient peser sur les ressources à protéger, l'éventail des données à capter doit demeurer large et doit comprendre, notamment, le contenu du trafic passant par le réseau (p. ex. les courriels) et les métadonnées de ces communications (c.-à-d. les données sur la création, la transmission et la diffusion desdites communications). Ces données peuvent contenir des communications privées ou des renseignements personnels à l'égard desquels un Canadien ou une personne se trouvant au Canada pourrait s'attendre à ce qu'ils demeurent confidentiels. Ainsi, ce type de collecte nécessite une autorisation ministérielle (notion décrite plus haut). Note de bas de page 310

193. Chaque capteur de cyberdéfense du CST passe par une série d'étapes de perfectionnement technologique et par un déploiement servant de preuve de validation au CST, et doit enfin obtenir une approbation aux fins de déploiement dans les réseaux du gouvernement. La figure 2 illustre le calendrier de développement des capteurs de cyberdéfense au CST. La section subséquente donne de plus amples détails sur chacun de ces capteurs.[*** Un graphique a été revu pour retirer l'information préjudiciable ou privilégiée. ***]

Figure 2 : Calendrier de développement des capteurs de cyberdéfense Note de bas de page 311
  • 2006 : Le CST crée le premier capteur réseau.
  • 2010 : Le CST installe le premier capteur réseau passif dans le Réseau de la Voie de communication protégée.
    • Conséquemment, le CST découvre une compromission - parrainée par la Chine - des ressources du Secrétariat du Conseil du Trésor et du ministère des Finances.
  • 2010 : Le CST crée son premier capteur sur l'hôte.
  • 2012 : Le CST déploie ses premiers capteurs sur l'hôte dans son propre réseau.
  • 2013 : Développement et déploiement pour validation de principe des mécanismes réseau de défense dynamique dans le réseau du CST.
  • 2014 : Premier déploiement de capteurs sur l'hôte à l'extérieur du CST, au Conseil national de recherches du Canada.
  • 2014 : Premier déploiement de mécanismes de défense dynamique (un nouveau type de capteur réseau) dans le Réseau de la Voie de communication protégée.
  • 2015 : Le CST ***.
  • 2017 : Le CST amorce un projet pilote relativement aux mécanismes de défense dynamique sur l'hôte.
    • Juin 2017 : Le CST se sert de la technologie de défense dynamique sur l'hôte pour éliminer un maliciel qui avait été introduit dans un ordinateur de ***.
  • 2017 : Le CST crée son premier capteur infonuagique (un capteur sur l'hôte pour les environnements en nuage).
  • 2019 : Le Conseil du Trésor charge les ministères de conclure un accord avec le CST prévoyant le déploiement de capteurs infonuagiques préalablement à l'exploitation de l'informatique en nuage.
  • 2019 : Le CST ***.
  • 2019 : Le CST ***.
  • 2020 : Le gouvernement du Royaume-Uni annonce qu'il a réussi à renforcer les mécanismes de défense de ses réseaux grâce à l'adoption de la technologie des capteurs sur l'hôte développée par le Canada (le CST) et au déploiement d'au moins 100 000 capteurs.

Capteurs réseau

194. Le développement des capteurs de cyberdéfense du CST a débuté en 2006 suivant la création des capteurs réseau ***. À cette époque, le CST employait ses capteurs en vertu d'une autorisation ministérielle visant plusieurs ministères. Ces capteurs devaient principalement surveiller les activités exercées par une poignée d'auteurs de cybermenace provenant surtout de la Russie et de la Chine Note de bas de page 312 . En 2010, le CST a déployé ces capteurs *** dans le Réseau de la Voie de communication protégée, lequel reliait des dizaines d'organisations du gouvernement les unes aux autres. Quasi immédiatement, le CST a découvert la compromission des réseaux du SCT et du ministère des Finances par des auteurs malveillants parrainés par la Chine (voir l'étude de cas n°1). C'est ainsi qu'en 2014, SPC a approuvé le déploiement de mesures de défense dynamique *** sur son Réseau de la Voie de communication protégée. Note de bas de page 315 Cette réussite a permis au CST de commencer à appliquer des mesures d'atténuation automatisées (défense dynamique) conçues pour réagir aux importantes attaques dirigées contre les réseaux du gouvernement, y compris l'attaque de 2014 de la Chine sur le réseau du Conseil national de recherches du Canada et ses partenaires ministériels, ainsi que la vaste attaque par maliciels qui a également eu lieu en 2014 (voir les études de cas n°s 3 et 4).

195. Le déploiement de mesures de défense dynamique *** par le CST s'est ensuite élargi lorsque SPC a remplacé son Réseau de la Voie de communication protégée par le Service Internet d'entreprise appelé à servir de principale passerelle d'accès à Internet pour le gouvernement. En mai 2021, *** institutions fédérales comptaient parmi les abonnés actifs du Service Internet d'entreprise de SPC et pouvaient conséquemment jouir de la protection offerte par les capteurs. Note de bas de page 314 Le CST a également conclu des accords bilatéraux distincts visant à fournir des mesures de défense dynamique à plusieurs organisations ***. Note de bas de page 315

196. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] Des mesures de défense dynamique sont disposées aux points d'entrée d'un réseau (couramment appelés « passerelles », ces points d'entrée permettent de relier le réseau à Internet) pour offrir un maximum de visibilité sur le trafic numérique et sur l'information qui entre et qui sort des réseaux des ministères. Ainsi, le CST peut reconnaître les menaces qui ciblent l'information et les réseaux des ministères et déterminer lorsque les systèmes ont déjà été compromis. Le CST ne décèle pas toutes les menaces: les cyberacteurs malveillants peuvent contourner le blocage du CST. Lorsque des menaces connues sont repérées, les mesures de défense dynamique du CST les bloquent automatiquement au périmètre du réseau. Tel qu'il était indiqué précédemment, les données suspectes sont réacheminées au CST, où elles sont soumises à une analyse sophistiquée visant à relever les comportements suspects ou inhabituels (anomalies). Note de bas de page 316 Une fois que de nouvelles menaces sont découvertes, les mesures de défense dynamique du CST sont aiguillées pour repérer et bloquer ces menaces à l'avenir. Ce système de mesures de défense dynamique est un élément central de la protection des réseaux du gouvernement, puisque l'information obtenue d'un ministère est appliquée proactivement pour défendre les autres ministères de façon continue afin de renforcer les cyberdéfenses du gouvernement. Note de bas de page 317

197. L'une des particularités des capteurs du CST est qu'ils peuvent se renforcer mutuellement. [*'"* Deux phrases ont été revues pour retirer l'information préjudiciable ou privilégiée. Les phrases indiquaient que l'information recueillie par un capteur est analysée par le CST pour détecter les activités malveillantes et que les indicateurs de compromission connexes sont intégrés aux autres capteurs, qui, à leur-tour, peuvent détecter les mêmes activités malveillantes et déclencher les mesures d'atténuation dans les autres organisations. ***] Note de bas de page 318 Le rôle des capteurs sur l'hôte est abordé ci-après.

Étude de cas n°3 : Mesures de défense et vulnérabilité Heartbleed

[*** Cinq paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***] Le 8 avril 2014, les États-Unis ont révélé publiquement une vulnérabilité décelée dans des outils de chiffrement de source ouverte qui étaient employés pour sécuriser les communications circulant dans les réseaux informatiques et dans Internet. La vulnérabilité, appelée HEARTBLEED, permettait de soutirer de l'information confidentielle, notamment les certificats de sécurisation et de chiffrement des communications Internet, les mots de passe et les renseignements personnels. Note de bas de page 319 Le CST et SPC ont examiné l'information et ont conseillé aux administrateurs des réseaux du gouvernement d'installer les correctifs permettant de neutraliser la vulnérabilité ou encore de mettre leurs systèmes hors service jusqu'à ce qu'ils soient en mesure d'installer lesdits correctifs.

Le 9 avril, l'Agence du revenu du Canada (ARC) a interrompu deux services fiscaux en ligne. Le 10 avril, le dirigeant principal de l'information du Canada a diffusé une directive dans l'ensemble du gouvernement voulant que les serveurs vulnérables soient mis hors ligne jusqu'à ce que les correctifs soient installés. Le 11 avril, SPC a approuvé l'installation, par le CST, de mesures de défense dynamique sur le Réseau de la Voie de communication protégée. En un mois, ces mesures de défense avaient bloqué de nombreuses occurrences de trafic malveillant HEARTBLEED, protégeant ainsi SPC, mais aussi les organisations gouvernementales qui s'étaient abonnées au service de passerelle sécurisée de SPC. Le CST a également transmis, aux fournisseurs de services de télécommunication, de l'information sur les façons de bloquer les attaques par HEARTBLEED.

Le Secrétariat du Conseil du Trésor du Canada a décrit cet incident comme étant l'un des plus graves à avoir touché le gouvernement. À ce moment, le gouvernement n'était pas en mesure de défendre convenablement ses réseaux contre les cyberattaques. Bien qu'il ait déployé des outils défensifs dans son propre réseau et dans ceux de SPC, d'Affaires mondiales Canada et du MDN, le CST n'avait pas encore déployé de mesures de défense dynamique et n'en était encore qu'aux premiers stades du développement de ses systèmes d'automatisation internes. Conséquemment, bon nombre d'auteurs malveillants ont utilisé cette vulnérabilité pour extraire de l'information des réseaux gouvernementaux. En tout, 12 ministères ont été la cible d'activités d'exploitation et d'exfiltration de données, y compris le vol d'au moins 900 numéros d'assurance sociale qui se trouvaient sur les serveurs de l'ARC et qui appartenaient à des contribuables canadiens.

Après l'attaque, le gouvernement a dressé une liste de difficultés qui, à ce jour, sont encore d'intérêt pour le Comité. Au nombre de ces difficultés, comptons le besoin d'établir une meilleure gouvernance en matière de gestion des incidents; d'améliorer les processus de cybersécurité dans l'ensemble du gouvernement (p. ex. la mise à jour des directives visant les vulnérabilités et la gestion des correctifs, les comptes à accès privilégié et la tenue d'un répertoire précis et automatisé des systèmes essentiels du gouvernement); et de renforcer le périmètre du réseau du gouvernement.

Plusieurs de ces problèmes ont été résolus dans le sillon des directives du Conseil du Trésor, grâce à des protocoles plus ciblés de gestion des incidents et suivant la création de SPC, ce qui a permis l'installation rapide et essentielle des correctifs de vulnérabilité. Toutefois-comme on le verra plus loin-certaines difficultés continuent de se manifester, notamment le fait que bon nombre de ministères se trouvent toujours en marge du périmètre sécurisé et ne jouissent aucunement de la protection offerte par les capteurs réseau du CST. Par conséquent, de l'information précieuse s'en trouve vulnérabilisée vis-à-vis des auteurs malveillants qui disposent de moyens sophistiqués, et crée des voies d'entrée potentielle vers les ministères se trouvant à l'intérieur du périmètre sécurisé. De plus, les directives du Conseil du Trésor, les configurations en matière de sécurité de SPC et les conseils du CST ne sont pas appliqués par tous. On en veut pour preuve ce cas où des lacunes sur le plan de la conformité ont entraîné des pertes de données qui auraient pu être évitées (voir l'étude de cas n° 6).

Capteurs sur l'hôte

198. Le CST a commencé le développement des capteurs sur l'hôte en 2010. En effet, le CST avait reconnu que les défenses périmétriques ne constituaient que la moitié de la solution et qu'un cadre de cyberdéfense avancée nécessiterait un outil capable de détecter la présence d'activités malveillantes hautement développées au niveau des serveurs et des postes de travail Note de bas de page 320 . En 2012, le CST a déployé ses premiers capteurs sur l'hôte dans son propre réseau, en guise de validation de principe. En 2014, le Centre a installé ses premiers capteurs sur l'hôte à l'extérieur du CST, soit du côté du Conseil national de recherches du Canada et de ses partenaires du portefeuille de la science, à la suite d'une compromission des systèmes de l'organisme par la Chine (voir l'étude de cas n°4). À la fin de 2014, le CST avait déployé ses capteurs dans 12 ministères. Note de bas de page 321 En 2015, le CST a établi un ordre de priorités relativement au déploiement des capteurs sur l'hôte dans les réseaux d’autres ministères du gouvernement, en se fondant sur certains facteurs comme la probabilité que les ministères soient ciblés par des États étrangers et les cas où le déploiement permettrait de combler des lacunes en matière de surveillance réseau. Note de bas de page 322 À la fin de 2020, le CST avait déployé des capteurs sur l'hôte dans *** ministères. En tout, plus de 500 000 capteurs sur l'hôte ont été installés. Note de bas de page 323 À très court terme, le CST se propose de déployer ses capteurs dans *** ministères additionnels et dans *** autres institutions fédérales, dans le cadre d'efforts visant à étendre la couverture sur l'hôte dans les ministères. De fait, selon les prévisions du CST en matière de mobilisation des institutions fédérales, les capteurs sur l'hôte seront déployés dans *** organisations au total. L'échéancier de ces travaux variera d'un ministère à un autre, mais il sera toujours question d'établir l'ordre de priorité en fonction du degré de sensibilité de l'information que ces ministères traitent et conservent, de la posture de sécurité qu'ils affichent et de leurs besoins de combler des écarts permanents sur le plan de la surveillance réseau. Note de bas de page 324

199. Les capteurs sur l'hôte sont déployés sur les ordinateurs, les postes de travail et les serveurs, que l'on désigne collectivement comme étant des dispositifs de destination. Ces déploiements permettent au CST d'acquérir (ou de recueillir) de l'information, puis de mettre en place des mesures d'atténuation visant à contrer les cybermenaces. Note de bas de page 325 *** Les mesures d'atténuation peuvent être automatisées avec les capteurs sur l'hôte, ce qui permet d'instaurer un mode de défense dynamique en temps réel sur chacun des dispositifs informatiques. [*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases expliquaient l'installation des capteurs.***] Les capteurs sur l'hôte assurent les fonctions suivantes :

  • recueillir de l'information relative à l'hôte, laquelle est envoyée au CST par l'intermédiaire d'un lien Internet chiffré;
  • analyser et traiter l'information recueillie pour détecter les activités suspectes ou anormales qui auraient pu avoir lieu dans le dispositif hôte;
  • signaler les anomalies, les compromissions et les vulnérabilités touchant les ministères-fort de cette information, le CST est en mesure de fournir des recommandations relativement aux mesures d'atténuation (p. ex. application d'un correctif ou mise à jour des dispositifs informatiques au moyen de l'installation de nouveaux logiciels, de la réinitialisation de mots de passe ou du retrait d'une machine du réseau);
  • supprimer les maliciels se trouvant sur un hôte : soit manuellement (par un analyste du CST), soit automatiquement ***;
  • ***bloquer ou neutraliser un maliciel;
  • ***

200. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] Les capteurs sur l'hôte recueillent plusieurs types d'information. Comme dans le cas des capteurs réseau, il peut arriver que de l'information recueillie soit liée à un Canadien ou à une personne se trouvant au Canada, lesquels seraient en droit de s'attendre au respect de leur vie privée. Par conséquent, les capteurs sur l'hôte sont exploités sous autorisation ministérielle. Note de bas de page 326

Étude de cas n°4 : Besoin d'accroître la protection des dispositifs de destination

[*** Quatre paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***] Le 18 juin 2014, le CST a découvert une compromission du réseau du Conseil national de recherches du Canada (CNRC) commise par un auteur malveillant parrainé par la Chine. Note de bas de page 327 On croit que l'auteur malveillant chinois avait été actif depuis *** et qu'il cherchait à mettre la main sur de l'information portant sur les relations et le commerce étrangers, la science et les technologies, l'énergie et les ressources naturelles, ainsi que les questions liées à l'environnement et aux changements climatiques.

Le CST a établi que la Chine avait obtenu l'accès au réseau du CNRC en envoyant des courriels de harponnage à des comptes de courrier électronique du CNRC, puis en mettant à profit son accès pour voler plus de 40 000 fichiers. Les fichiers volés contenaient des éléments de propriété intellectuelle, de l'information sur la recherche de pointe et des renseignements confidentiels d'entreprises partenaires du CNRC. La Chine a également tiré parti de son accès au réseau du CNRC pour infiltrer plusieurs organisations gouvernementales.

Au moment de l'attaque, le réseau du CNRC ne faisait pas encore partie du Réseau de la Voie de communication protégée de SPC. Ainsi, ni SPC ni le CST ne pouvaient recourir à leurs capteurs pour tenter de surveiller les activités de la Chine sur le réseau du CNRC. Pour dresser un portrait des activités qui pouvaient avoir lieu, le CST a déployé des capteurs sur l'hôte pour la première fois à l'extérieur du CST. Par la même occasion, le CST a mis à jour les mesures de défense dynamique, qu'il avait récemment déployées dans le Réseau de la Voie de communication protégée (en avril, en réaction aux attaques HEARTBLEED) dans le but de bloquer les attaques de la Chine sur les réseaux d'autres ministères. SPC a également bloqué la connexion entre le réseau du CNRC et celui des autres organisations fédérales.

Dans le cas de cet incident, l'intervention du gouvernement a été manuelle, vaste, coûteuse et longue (plusieurs mois), et a fini par s'étendre à plusieurs ministères. Le CNRC a informé ses clients que leurs données ont peut-être couru un risque. Le coût des mesures d'atténuation des dommages causés par cette attaque s'est élevé à environ 100 millions de dollars et a nécessité plusieurs années d'efforts de la part du CNRC, de SPC et du CST pour réaménager le réseau du CNRC de sorte qu'il dispose de mécanismes de protection qui soient intégrés dès l'étape de la conception du réseau.

Pendant cet incident, plusieurs problèmes ont été révélés relativement à la capacité du gouvernement de protéger ses réseaux contre les cyberattaques. Qui plus est, l'incident a mis en évidence la nécessité d'accroître le niveau de protection du périmètre du réseau du gouvernement; de réduire le nombre des points d'accès à Internet que les ministères utilisent en les regroupant; et d'accroître la protection aux points de destination (grâce aux capteurs sur l'hôte) à l'extérieur du CST. L'expérience a également rappelé certaines leçons tirées de l'incident impliquant HEARTBLEED relativement au besoin de perfectionner les modalités de gouvernance quant à la gestion des incidents et d'améliorer les processus liés à la cybersécurité dans l'ensemble du gouvernement (p. ex. installation des correctifs sur les applications vulnérables et accroissement des contrôles à l'égard des accès privilégiés).

Étude de cas n°5 : Attaque contre un réseau du ministère de la Défense nationale

[*** Trois paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***] En 2017, le CST a découvert qu'un acteur étatique avait compromis un réseau du ministère de la Défense nationale (MDN). L'acteur a volé une quantité importante de données et a profité de sa présence pour infecter d'autres réseaux. Le MDN a isolé le réseau, le CST a mis à jour ses mesures de défense dynamique pour protéger les autres ministères, et les deux organisations ont coopéré avec Services partagés Canada pour supprimer la présence de l'acteur. Note de bas de page 328

Cette étude de cas met en évidence des problèmes importants. Le réseau comportait plusieurs applications ainsi que des systèmes d'exploitation patrimoniaux qui n'étaient ni corrigés ni pris en charge, ce qui a constitué un vecteur d'entrée pour l'acteur. De plus, comme il n'était pas relié au Service Internet d'entreprise de SPC, le réseau n'était pas protégé par les mesures de défense du CST. Qui plus est, le réseau était relié à un certain nombre d'autres ministères, ce qui aurait en soi posé un risque de compromission pour l'ensemble de l'infrastructure gouvernementale si l'acteur avait été en mesure de se rendre jusqu'aux réseaux de ces organisations. En revanche, le CST a pu déployer ses mesures de défense et appliquer sur-le-champ des mesures d'atténuation en considération d'une autorisation ministérielle qui visait déjà les activités de cyberdéfense du MDN. Note de bas de page 329 En définitive, cette étude de cas illustre parfaitement les dangers liés à la conservation de systèmes patrimoniaux qui n'ont pas été corrigés et qui ont accès à Internet par l'intermédiaire d'une liaison qui ne passe pas par le Service Internet d'entreprise de SPC. Au reste, elle met en évidence l'importance de disposer des autorisations appropriées permettant le déploiement rapide des cyberdéfenses requises.

Capteurs infonuagiques

201. Tel qu'il était indiqué précédemment, le gouvernement s'en remet de plus en plus aux environnements infonuagiques, comme le prescrivent les plans de modernisation des systèmes et de l'infrastructure des technologies de l'information. En 2017, le SCT a émis l'orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage, suivant laquelle les ministères visés étaient tenus de se conformer à des mesures de sécurité avant même de recevoir une approbation permettant d'exploiter un système en nuage. En 2019, le SCT a obligé les ministères à adopter les capteurs infonuagiques dans le cadre de la mise en place de leur environnement infonuagique, alors que le CST et SPC commençaient à mobiliser les ministères pour ce qui a trait au déploiement des capteurs infonuagiques. Note de bas de page 330 En outre, on a dû accroître le rythme de déploiement des capteurs infonuagiques en raison de la pandémie de COVID-19. En mai 2020, le SCT a établi des consignes de service pour Microsoft Office 365, alors que SPC a accéléré, en collaboration avec le SCT et le CST, la transition des ministères vers les services de courrier électronique et de collaboration infonuagiques, et ce, dans le but de répondre à l'explosion de la demande en télétravail. De fait, le CST et SPC ont collaboré de sorte à installer rapidement des capteurs infonuagiques dans les ressources de *** organisations. Conséquemment, le CST est désormais en mesure de fournir des services de surveillance à tous les ministères qui ont converti leur service de courrier électronique aux environnements infonuagiques identifiés par le service de courtage de SPC. Note de bas de page 331

202. Le déploiement des capteurs infonuagiques a pour objet de protéger les activités des institutions fédérales qui sont menées dans les environnements infonuagiques et d'intensifier les services de protection fournis par les capteurs réseau et les capteurs sur l'hôte Note de bas de page 332 [*** Cinq phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient des opérations du CST. ***]

  • ***
  • ***
  • ***

Semblablement aux capteurs réseau et aux capteurs sur l'hôte, les capteurs infonuagiques pourraient recueillir de l'information liée à un Canadien ou à une personne se trouvant au Canada, lesquels seraient en droit de s'attendre au respect de leur vie privée. Conséquemment les déploiements de capteurs infonuagiques sont réalisés en vertu d'une autorisation ministérielle.

Étude de cas n°6 : Un état attaque une société d'État et des systèmes du gouvernement

[*** Cinq paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***) En 2020, le CST a découvert qu'un état avait compromis le réseau d'une société d'État. L'état a profité de sa présence sur le réseau de la société pour compromettre plusieurs ministères et en balayer de nombreux autres pour trouver leurs vulnérabilités. De plus, il y a tout lieu de croire que l'état a ciblé d'autres sociétés d'État. Le CST et SPC ont bloqué les liens entre la société d'État et le reste du gouvernement, et ont déterminé que l'état avait accédé à des quantités considérables d'information. L'attaque a été atténuée. Plus tard, le CST a découvert que l'état avait compromis un ministère et avait tenté d'en compromettre d'autres. Ces attaques ont également été atténuées. Note de bas de page 333

Cette étude de cas met en évidence deux problèmes. D'abord, les capteurs de cyberdéfense sont efficaces, mais ils ne peuvent pas fonctionner s'ils ne sont pas déployés. La société d'État n'est pas assujettie aux directives du Conseil du Trésor, elle n'a pas utilisé le Service Internet d'entreprise de SPC et n'a pas encore mis en application les recommandations du CST à cet effet. De plus, il n'est pas suffisant qu'un ministère soit assujetti aux directives du Conseil du Trésor et de SPC; encore faut-il qu'il les suive. Trois mois avant la compromission par l'état, SPC avait décidé d'interrompre le service à faible authentification (un seul facteur) d'un ministère, mais cette décision a été infirmée par la haute direction du ministère, quoiqu'une solution renforcée eût été disponible dans les deux semaines. Il s'agit là d'un facteur clé de la cyberattaque.

Cyberopérations défensives

203. Les cyberopérations défensives constituent l'un des nouveaux aspects du mandat en cinq volets du CST. Les opérations ont pour objet de protéger les informations électroniques et l'infrastructure des institutions fédérales ainsi que des organisations non fédérales désignées comme étant d'importance pour le gouvernement. A ce jour, le CST a reçu deux autorisations ministérielles d'une année chacune lui permettant de mener ces opérations, ***. Note de bas de page 334 . Concrètement, les opérations n'ont été menées ni dans un cas ni dans l'autre : au cours de la première année, les activités de cyberdéfense sont parvenues à atténuer les menaces, parant ainsi à la nécessité d'une opération distincte; au cours de la seconde année, les opérations planifiées ne sont pas parvenues au stade opérationnel. Note de bas de page 335 En conséquence, le Comité se contentera de fournir une explication pour ce qui a trait à ces opérations et se propose de revenir sur le sujet ultérieurement. Note de bas de page 336

204. Les cyberopérations défensives nécessitent une autorisation ministérielle. Sans une telle autorisation, les cyberopérations défensives risqueraient de contrevenir à une, voire à plusieurs lois fédérales (p. ex. le Code criminel). En effet, ces activités pourraient se traduire par des comportements illicites, la falsification de matériel ou d'information, le trafiquage de matériel informatique ou de logiciels sans en avoir obtenu la permission des responsables du système ou l'interaction avec des auteurs malveillants au moment où ceux-ci commettent leur forfait. Les opérations peuvent être employées dans trois situations :

  • lorsqu'une cybermenace est si sophistiquée que ni les mécanismes de défense vendus dans le marché ni les capteurs classifiés du CST ne seraient suffisants pour la contrer;
  • lorsqu'une compromission a atteint un stade d'avancement tel que les capteurs déjà déployés ne parviennent plus à en atténuer les effets;
  • lorsqu'une compromission est d'une portée et d'une ampleur telles et qu'elle touche un si grand nombre d'institutions fédérales et d'entités non fédérales désignées comme étant d'importance pour le gouvernement, que le déploiement de capteurs ne pourrait pas être effectué à temps pour atténuer la menace. Note de bas de page 337

205. La Loi sur le CST exige que les cyberopérations défensives soient menées dans certaines parties hors Canada de l'infrastructure mondiale de l'information, ne soient pas dirigées sur des Canadiens ou sur les personnes se trouvant au Canada, et n'enfreignent pas les dispositions de la Charte canadienne des droits et libertés. Ces opérations nécessiteraient *** en vue d'installer, d'entretenir, de copier, de distribuer, de chercher, de modifier, de perturber, de supprimer ou d'intercepter quoi que ce soit ou encore d'interagir avec des personnes dans le but de réaliser les objectifs en matière de protection des réseaux du gouvernement et des réseaux appartenant aux entités désignées comme étant d'importance pour le gouvernement. Concrètement, le CST peut :

  • ***
  • ***
  • ***
  • ***
  • ***

206. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait des techniques du CST. ***] En vertu de l'actuel régime des autorisations ministérielles, les cyberopérations défensives ont pour objet d'atteindre certains objectifs, mais n'ont pas pour but de recueillir des informations.

  • ***
  • ***
  • ***
  • ***

Résùltats

207. Le CST mesure la réussite et la valeur de son programme de cyberdéfense en établissant la mesure dans laquelle son programme de capteurs parvient à limiter ou à prévenir les dommages pouvant être causés aux informations électroniques et aux infrastructures des institutions fédérales ou à celles des organisations non fédérales désignées comme étant d'importance pour le gouvernement. A cet effet, des données sont fournies annuellement au ministre de la Défense nationale dans les demandes d'autorisations ministérielles et dans les rapports ultérieurs. Un aperçu de ces données est fourni dans le Tableau 2.

Tableau 2 : Capteurs de cyberdéfense : mesure des résultats
Année 2015-2016 2016-2017 2017-2018 2018-2019 2019-2020
Capteurs sur l'hôte déployés (ministères) 161 012
(***)
313 781
(***)
345 160
(***)
404 891
(***)
583 809
(***)
Capteurs réseau déployés (ministères) Les données complètes n'étaient pas disponibles durant cette période Note de bas de page 339 Les données complètes n'étaient pas disponibles durant cette période Les données complètes n'étaient pas disponibles durant cette période Les données complètes n'étaient pas disponibles durant cette période *** (***)
Cloud-based sensors deployed (departments) N/A N/A N/A N/A N/A
Trafic malveillant bloqué (quotidiennement) 282 millions 474 millions 693 millions 1,6 milliard 1,3 milliard
Compromissions (menaces persistantes avancées) *** (***) *** (***) *** (***) *** (***) *** (***)
Compromissions avec exfiltration de données *** *** *** *** ***
Rapports de cyberdéfense 961 1 110 2 070 1 193 4 379

Sources : Données tirées des documents suivants issus du CST, Ministerial Authorization Year End Report : 2015-2016, sans date; CST, Ministerial Authorization Year End Report 2018-2019. sans date; CST, Interim Ministerial Authorization Year End Report: May 2019 - October 2019, sans date; CST, End of Authorization Report for the Minister of National Defence - Cybersecurity Authorization for Activities on Federal Infrastructures: August 29, 2019 - July 30, 2020, sans date; CST, HBS Deployment Priorities, 22 octobre 2020; CST, CSE Cyber Defence Activities, note de breffage au ministre de la Défense nationale,12 juin 2017;CST, Cyber Defence Activities, note de breffage au ministre de la Défense nationale, 30 mai 2016; CST, CSE Cyber Defence Activities, note de breffage au ministre de la Défense nationale, 11 juin 2018; et CST, Activities on Federal Infrastructures, demande d'une autorisation ministérielle de cybersécurité auprès du ministre de la Défense nationale, 26  juillet 2019.

208. Les capteurs de cyberdéfense du CST couvrent une part importante des réseaux du gouvernement. En date du 10 novembre 2020, le CST avait fourni certains, voire tous les types de capteurs de cyberdéfense à *** institutions fédérales, dont certaines sont membres du Service Internet d'entreprise de SPC, alors que d'autres, notamment plusieurs organismes ou sociétés d'État non assujettis aux directives du Conseil du Trésor Note de bas de page 340 , ont plutôt conclu des accords bilatéraux. Par conséquent, [traduction] « au nombre des réseaux étatiques mondiaux », ceux du gouvernement canadien ont l'avantage de miser sur les mesures de cybersécurité les plus avancées. Note de bas de page 341

209. Néanmoins, plusieurs organisations gouvernementales ne tirent pas avantage des mesures de protection déployées par le CST, puisqu'elles n'y sont pas tenues. Le nombre total d'organisations fédérales est de 169. De ce nombre, on compte divers types d'organisations allant des ministères les plus connus (p. ex. Affaires mondiales Canada) aux agences comme le Service canadien du renseignement de sécurité ou le CST, en passant par les entités de services (p. ex. l'Agence des services frontaliers du Canada), les sociétés d'État (p. ex. Exportation et développement Canada) et les organismes autonomes (notamment le Commissariat à l'information du Canada et le Commissariat à la protection de la vie privée du Canada). Certaines organisations, dont le Secrétariat du présent Comité, reçoivent leurs services de technologie de 11nformation par l'intermédiaire d'une organisation protégée par SPC et le CCC. Certaines autres doivent plutôt recourir aux technologies de l'information et aux accès Internet fournis par des entreprises du secteur privé. Cette façon de procéder se justifie pour diverses raisons, notamment le souci d'indépendance vis-à-vis du gouvernement et le coût du service. En revanche, elle laisse bon nombre d'organisations dans un état de vulnérabilité inquiétant qui les expose aux pertes de données ou qui pourrait constituer le vecteur caché d'une intrusion dans les systèmes protégés du gouvernement, et ce, par l'entremise des liaisons électroniques qui sont maintenues entre les ministères fédéraux, ce qui pose un risque considérable pour les données du gouvernement. Le Comité aborde ces enjeux dans son évaluation.

210. Aux fins des rapports qu'il prépare à l'intention du ministre de la Défense nationale, le CST fait le suivi du nombre d'occasions où il a utilisé, conservé ou divulgué des communications privées ou des communications protégées par le secret professionnel des avocats qui auraient été incidemment recueillies pendant les activités permises par voie d'autorisation ministérielle. Or, la façon dont le CST fait le décompte de ces occurrences a considérablement changé au fil des ans. Loin de constituer une simple question de méthodologie, ces changements mettent plutôt en évidence des éléments importants concernant le risque qui pèse sur l'attente raisonnable des Canadiens à l'égard de la protection de leurs renseignements personnels pendant le déroulement des activités de cyberdéfense du CCC.

211. Avant 2018, le CST surveillait et enregistrait automatiquement la collecte de courriels dont au moins une des parties était privée et se trouvait au Canada. En conséquence, le CST devait faire rapport au ministre relativement à la conservation de centaines de milliers de communications. Note de bas de page 342 En mars 2015, le commissaire du CST a réalisé un examen combiné des activités de cyberdéfense que le CST avait menées au titre d'autorisations ministérielles délivrées entre 2009 et 2012. En l'occurrence, on a découvert qu'une très large majorité des communications personnelles accidentellement interceptées par le CST ne contenaient que du code malveillant et des efforts visant à personnaliser un message afin d'inciter la cible à en ouvrir le contenu. Le commissaire a donc conclu que les communications privées qui avaient été interceptées ne contenaient ni informations dommageables ni renseignements personnels et que, par conséquent, ces communications ne devraient pas être considérées comme étant des « communications privées » au sens du Code criminel. Note de bas de page 343

212. [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée.**"'] D'ailleurs, le CST a redéfini la notion de communication privée dans le contexte des autorisations ministérielles de cybersécurité: le nombre des communications privées rapportées par le CST est désormais inférieur à 100 par année. Note de bas de page 344 De l'avis du commissaire du CST, la méthode appliquée antérieurement donnait une idée déformée des risques que posent les activités de cyberdéfense pour la vie privée, alors que la nouvelle méthode [traduction] « devrait donner une mesure plus précise et plus significative des effets des activités du CST sur la vie privée Note de bas de page 345  ». Le fait que les activités de cyberdéfense du CST ne posent que de faibles risques pour la vie privée des Canadiens ou des propriétaires de systèmes et de réseaux dotés de capteurs du CST devrait représenter un facteur digne d'attention pour les organisations qui invoquent l'indépendance comme motif de refus de s'intégrer au cadre gouvernemental de cyberdéfense. Au reste, il s'agit là d'un enjeu sur lequel le Comité se penche dans son évaluation.

Résumé

213. Le CST est au centre du cadre de cyberdéfense du Canada. Il recueille des renseignements sur les menaces pour les systèmes et les réseaux du gouvernement, dirigé un réseau de défense perfectionné et en couches de capteurs qui trouvent et bloquent ces menaces, et fournit des directives et des conseils aux organisations gouvernementales (et de plus en plus aux Canadiens et aux organisations du secteur privé) pour renforcer leur propre sécurité en matière de technologie de l'information. Les moyens de cyberdéfense du CST ont évolué pour contrer les cybermenaces de plus en plus perfectionnées, et alors qu'ils ont été déployés à un nombre croissant d'organisations fédérales, ils ont joué un rôle de plus en plus prépondérant dans la capacité du gouvernement de défendre ses réseaux de cyberattaques. La présente section traite du pouvoir du CST de mener des activités de cyberdéfense, décrit le développement et l'utilisation de chacun des capteurs de cyberdéfense du CST, et présente les mécanismes de gouvernance interne utilisés pour régir ces activités et pour veiller à la responsabilisation du CST devant le ministre de la Défense nationale. La prochaine section du rapport décrit les mécanismes de gouvernance en place visant à gérer la tenue des activités de cyberdéfense dans l'ensemble du gouvernement.