Partie V: Évaluation du Comite sur le cadre de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
237. Le gouvernement du Canada a jeté les bases d'un cadre rigoureux et résilient de cyberdéfense. Alors que d'autres états ont été victimes d'attaques de cyberexploitation et de rançongiciels, le Canada a soit bloqué les attaques, soit limité les répercussions les plus graves. Cela n'a pas toujours été le cas. li y a moins de dix ans, le Canada a subi de multiples cyberattaques néfastes contre certaines de ses institutions gouvernementales principales. La compréhension du Canada sur la nature de la menace était limitée, ses moyens de cyberdéfense étaient faibles dans certains ministères et bons dans d'autres, et la gouvernance payait pour une coordination centrale bancale et une responsabilisation compartimentée. Le Centre de la sécurité des télécommunications (CST), l'expert technique principal du Canada en matière de cyberdéfense, déployait ses capteurs de défense seulement à l'extérieur d'une poignée d'organisations gouvernementales et n'avait pas encore conçu le type de mesures de défense dynamique automatisées nécessaires pour lutter contre les attaques incessantes des auteurs de cybermenaces qui caractérisent l'environnement moderne de cybermenace.
238. En 2020, toutefois, le Canada était devenu un chef de file mondial en défense de ses réseaux contre les cyberattaques. Le changement a été apporté par une leçon en trois temps : l'importance de maximiser les autorités devant le changement; de répondre aux crises non seulement dans le but de les résoudre, mais aussi pour préparer l'avenir; et de veiller à ce que les pouvoirs et les organisations soient adaptés à leurs rôles. Cela ne signifie pas que le Canada est parfait : le gouvernement doit continuer de s'adapter devant les menaces changeantes et l'évolution de la technologie, et le Comité présente un certain nombre de recommandations à cette fin. Il fournit également son évaluation de ces changements ci-dessous.
L'évolution de la cyberdéfense au Canada : Un cycle vertueux, mais incomplet
239. Le CST est un élément central de cette histoire. Lorsqu'il a reçu ses pouvoirs conférés par la loi en 2001, les activités du CST visant à protéger les systèmes de données et de technologie de l'information se concentraient sur l'essai des systèmes et le chiffrement de pointe. L'idée de la cyberdéfense existait à peine. Durant plusieurs années, le CST était la seule organisation fédérale autorisée légalement à exploiter les systèmes qui risquaient d'intercepter les communications privées, comme les coupe-feux et la détection d'intrusion, et qui protégeaient un réseau gouvernemental. En s'appuyant sur ses connaissances en renseignements électromagnétiques, le CST a développé et déployé des capteurs de défense exclusifs aux organisations attaquées par des adversaires étatiques expérimentés : la Chine et la Russie. Ces activités auraient été impossibles si le gouvernement n'avait pas permis au CST d'utiliser ses pouvoirs singuliers, c'est-à-dire les autorisations ministérielles, de façon inattendue. Entre 2002 et 2007, le CST a testé de nouvelles approches et techniques tout en tâchant de protéger plusieurs ministères contre les cyberattaques. Ses efforts n'étaient pas sans obstacle. En effet, en 2006, le CST a été forcé de mettre ses activités de cyberdéfense sur pause pendant plus d'un an parce qu'elles ne respectaient pas les obligations légales découlant de ces pouvoirs. Après avoir restructuré le programme d'autorisation ministérielle et son cadre stratégique, le CST a repris ses activités de cyberdéfense et a approfondi son expertise lui permettant de détecter et de bloquer les cybermenaces les plus poussées. Néanmoins, la réussite du CST à cibler les menaces et à collaborer avec des ministères en particulier pour mettre en œuvre des mesures d'atténuation aurait probablement encore été limitée par l'approche du gouvernement en matière de cyberdéfense pour chaque ministère.
240. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***) Les cyberattaques importantes ont marqué un tournant. En 2010, le CST a déployé ses mesures de cyberdéfense sur le Réseau de la Voie de communication protégée du gouvernement, où 75 ministères avaient migré leur accès Internet sur un réseau unique géré par Travaux publics et Services gouvernementaux Canada. Ce déploiement avait révélé que la Chine avait pénétré les systèmes numériques de plusieurs organisations gouvernementales, notamment le Secrétariat du Conseil du Trésor du Canada (SCT) et le ministère des Finances, et avait volé d'importantes données. Par conséquent, le SCT a exigé à tous les ministères de joindre le Réseau De la Voie de communication protégée, à la suite de quoi plusieurs ministères ont migré leur accès Internet, ce qui a jeté les bases de l'évolution vers le Service Internet d'entreprise plusieurs années plus tard. En 2014, les réseaux du gouvernement ont été victimes de l'attaque Heartbleed et le Conseil national de recherches a subi une compromission critique et distincte entraînant un vol important d'information de recherches et de données scientifiques. Les deux incidents ont été marquants pour le gouvernement, révélant des vulnérabilités de système étendues et des faiblesses dans le cadre de cyberdéfense du gouvernement. Ils ont aussi poussé le premier déploiement par le CST de cyberdéfenses précises. Ces déploiements ont ouvert la voie à l'élargissement et à la modernisation plus amples de ces services. Ces attaques ont aussi révélé d'importants problèmes en ce qui a trait à la coordination et à la gouvernance interministérielles de cyberincidents majeurs. Le SCT a donc modernisé différentes politiques et directives en vue de préciser les rôles et les responsabilités, et les principaux ministères ont joué des rôles de direction de plus en plus importants dans l'intervention relative aux cyberincidents.
241. La création de nouveaux pouvoirs et de nouvelles organisations par le gouvernement était essentielle. En 2011, le gouvernement a formé une nouvelle organisation, Services partagés Canada (SPC), pour uniformiser et regrouper l'achat et l'approvisionnement de services et de technologies de l'information dans l'ensemble des ministères. Au départ, le gouvernement a mis l'accent sur les aspects d'économie de la création de SPC, mais lorsque l'étendue des difficultés a été reconnue (par exemple, SPC a hérité d'un vaste mélange d'infrastructures nouvelles et désuètes), le gouvernement a investi des sommes considérables pour moderniser son infrastructure de technologie de l'information. Entre autres, SPC intégrerait la sécurité aux initiatives ultérieures de modernisation de la technologie de l'information du gouvernement. D'un point de vue de cyberdéfense, les changements les plus importants découlant de la création de SPC étaient le regroupement de plus en plus marqué de ministères sous le Service Internet d'entreprise (vu plus en détail ci-dessous) et la fonction contraignante qu'a joué SPC en obligeant les ministères visés à déployer des correctifs pour leurs appareils, systèmes et réseaux.
242. D'importants changements aux structures du gouvernement se sont poursuivis en 2018 avec la création d'un groupe au CST : le Centre canadien pour la cybersécurité (CCC). Résultat de la fusion de trois organisations, le CCC est la source consolidée et habilitée pour la cybersécurité au Canada. Il est responsable de protéger et de défendre les actifs électroniques du Canada au moyen de conseils, d'orientation et d'aide opérationnelle directe et, en collaboration avec le SCT, de diriger l'intervention du gouvernement face aux événements de cybersécurité. Il modifie continuellement son approche à la cyberdéfense, met à jour ses capteurs réseau afin de mieux détecter et bloquer le cyber comportement malveillant, crée de nouveaux capteurs sur l'hôte pour approfondir les couches de défense du réseau jusqu'au niveau des appareils personnels, et travaille à repérer les nouvelles menaces en accumulant et en analysant les nouveaux renseignements et les données relatives aux anomalies. L'adoption de la Loi sur le Centre de la sécurité des télécommunications en 2019 peut contribuer davantage à ces efforts en précisant les pouvoirs et immunités du CST, y compris l'ajout de cyberopérations défensives comme outil embryonnaire pour protéger les systèmes gouvernementaux dans des circonstances précises.
243. Au fil du temps, ces changements ont créé un cycle vertueux. Plus les ministères migrent vers le Service Internet d'entreprise de SPC, plus ils profitent du perfectionnement des mesures de défense dynamique du CCC. Plus les ministères adhèrent aux services de cyberdéfense du CCC pour les appareils finaux et les environnements infonuagiques, plus les systèmes et les données du gouvernement sont protégés contre les cybermenaces et le cybercrime de pointe. Plus le CCC obtient et analyse des données provenant de ses capteurs de cyberdéfense de plus en plus nombreux, plus il sera en mesure de repérer et de bloquer de nouvelles cybermenaces. Enfin, plus les rôles, les responsabilités, la gouvernance et l'intervention aux incidents sont définis clairement suivant la création de ministères et l'adoption de nouveaux pouvoirs et de nouvelles politiques et directives, plus le gouvernement sera en mesure d'agir rapidement et délibérément sur les menaces qui évoluent. En outre, la situation devrait demeurer inchangée pour le moment. Par exemple, le SCT a ordonné l'utilisation de capteurs infonuagiques dans le cadre des mesures de sécurité infonuagique, faisant en sorte que des mesures de sécurité rigoureuses sont intégrées dès la conception. Ces changements et leur évolution continue ont donné des résultats tangibles : le nombre d'incidents de pénétration de réseau, de perte de données ou de dommages qui touchent le Canada diminue de plus en plus.
Les organisations protégées : des opinions divergentes
244. Il est impossible que ce système atteigne la perfection : les menaces évoluent, des erreurs sont commises, les défenses échouent. Cependant, il est toujours possible de l'améliorer, mais il faut surmonter trois obstacles importants. Le premier obstacle est l'application non uniforme des politiques et des directives du Conseil du Trésor. Ces instruments déterminent l'étendue des services accordés aux ministères. La Loi sur la gestion des finances publiques regroupe la plupart des organisations fédérales dans des annexes précises selon leur mandat, leur structure de gouvernance et leur niveau d'indépendance, et donne au Conseil du Trésor l'autorisation légale de publier des politiques et des directives, De cette façon, la normalisation des exigences en matière de responsabilisation pour les organisations de l'ensemble du gouvernement est standardisée. Toutefois, les trois principaux instruments du Conseil du Trésor pour la cyberdéfense n'ont pas la même portée d'application. D'un côté, la Politique sur la sécurité du gouvernement et ses directives de sécurité connexes, comme l'utilisation sécurisée des services infonuagiques commerciaux, s'appliquent à 110 organisations fédérales; tandis que la Politique sur les services et le numérique (et ses politiques dérivées) et le Plan stratégique des opérations numériques s'appliquent à 87 organisations fédérales. De façon plus générale, les éléments centraux du cadre administratif du gouvernement sur la cyberdéfense ne s'appliquent pas uniformément (ou dans certains cas, du tout) aux 169 organisations du gouvernement du Canada.
245. Le deuxième obstacle est la façon dont le mandat et les responsabilités de SPC relativement aux services de cybersécurité sont énoncés. Une série de décrets renvoie à des annexes précises de la Loi sur la gestion des finances publiques afin de définir les ministères auxquels SPC doit fournir ses services de courriel, de centre de données, de réseautage et de points terminaux, et ceux auxquels SPC peut fournir ces services. Le groupe de ministères et organismes (partenaires principaux de SPC) auquel SPC doit fournir des services est le mieux protégé, puisqu'il reçoit l'éventail complet des services de SPC. Pour le groupe auquel SPC peut fournir des services (clients obligatoires et facultatifs de SPC), SPC fournit des services essentiellement à la carte, c'est-à-dire qu'il fournit une partie ou l'ensemble de ses services selon un principe de recouvrement de coûts. Lorsque les organisations gouvernementales estiment que les coûts des services sont hors de prix, ils n'y souscrivent pas, rendant leurs données potentiellement vulnérables à l'exploitation. Malgré tout, ces organisations ont des liaisons électroniques avec l'infrastructure numérique d'autres organisations et peuvent donner accès par inadvertance à un cyberacteur malveillant et possiblement menacer la sécurité globale du gouvernement.
246. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] Le troisième obstacle est l'établissement d'un principe fondamental pour l'augmentation du nombre d'organisations gouvernementales qui bénéficient de la protection du programme de cyberdéfense du CST. Le mandat du CST en vertu de la Loi sur Le Centre de la sécurité des télécommunications confère le pouvoir le plus complet de fournir une protection de cyberdéfense aux institutions fédérales. Cependant, aucun ministère n'est obligé d'utiliser au moins un capteur de cyberdéfense du CST. Bien que le CST fournisse actuellement au moins un capteur de cyberdéfense à***pour cent des 169 organisations fédérales qui composent le gouvernement du Canada, *"* pour cent des organisations fédérales ne sont pas protégées par un capteur de cyberdéfense du CST. Cette situation est problématique. Premièrement, elle limite la quantité d'activités de cybermenace ciblant les ministères que le CST peut observer. Deuxièmement, elle nuit à la capacité du CST de réagir rapidement lorsqu'un ou plusieurs ministères qui ne sont pas protégés sont compromis par une cyberattaque. De plus, ces organisations à l'extérieur de la zone de couverture des capteurs de cyberdéfense du CST ne savent probablement pas elles-mêmes si elles sont attaquées. Une des avenues de protection possibles pour ces organisations est lorsque le programme du renseignement électromagnétique du CST, grâce à son suivi des cybermenaces mondiales, obtient une certaine indication de compromission et communique cette information au CCC. Comme le mentionne l'étude de cas 6 sur l'attaque contre une société d'État, une telle aide viendrait presque toujours après le vol de données et la compromission de l'intégrité du système de l'organisation. Pour l'avenir, il sera important de maximiser le nombre de ministères utilisant les trois types de capteurs (lorsque possible) pour protéger leurs réseaux afin de protéger davantage l'information sensible détenue par les organisations gouvernementales et de veiller à ce que les Canadiens puissent profiter des services gouvernementaux essentiels dont ils ont besoin.
La réussite et la faille : Sécuriser l'accès Internet au gouvernement
247. Le nombre d'organisations fédérales qui utilisent l'accès sécurisé à Internet du gouvernement est à la base des trois obstacles. La création du Service Internet d'entreprise de SPC et son adoption progressive par les ministères ont joué un rôle de base dans le renforcement du cadre de cyberdéfense du gouvernement. De plus, l'intégration des mesures de défense dynamique *** du CST dans les points d'accès à Internet du Service Internet d'entreprise est sans doute la mesure de défense la plus importante à l'heure actuelle dans le cadre de défense du gouvernement. Pour étendre ce cadre à toutes les organisations du gouvernement du Canada, il faut éliminer ces trois obstacles susmentionnés.
248. Premièrement, les ministères devraient appliquer les politiques et directives du Conseil du Trésor de façon cohérente. Depuis 2006, le Conseil du Trésor a publié à quatre reprises une directive « obligatoire » pour les ministères, les obligeant à utiliser des services Internet sécurisés, le plus récemment dans le cadre du Plan stratégique des opérations numériques en 2018. Cela donne à penser que les organisations gouvernementales ont encore toute latitude pour choisir les directives du Conseil du Trésor qu'elles acceptent et le moment où elles le font. En date d'août 2021, 94 des 169 organisations souscrivent au Service Internet d'entreprise. Il s'agit notamment de presque toutes les organisations assujetties aux politiques du Conseil du Trésor, portant le Comité à conclure que les directives du Conseil du Trésor dans ce secteur ont, éventuellement, porté leurs fruits. À l'heure actuelle, la faille du cadre de cyberdéfense du gouvernement se trouve parmi les 75 organisations fédérales qui ne sont pas assujetties à l'orientation du Conseil du Trésor dans ce domaine (plus de détails au paragraphe 251). Ces organisations demeurent à l'extérieur du périmètre sécurisé du gouvernement et de la protection offerte par les mesures de cyberdéfense du CST.
249. Deuxièmement, la série de décrets qui édictent le mandat et les responsabilités de SPC en matière de services de cybersécurité crée une couverture en mosaïque pour les organisations gouvernementales. Les 94 organisations qui reçoivent le Service Internet d'entreprise ou y souscrivent comprennent les 43 partenaires principaux, les 27 clients obligatoires et les 24 clients facultatifs de SPC. Pour les partenaires principaux de SPC, la fourniture de l'éventail complet de services de SPC comprend le Service Internet d'entreprise, et SPC est obligé de le fournir. Les clients obligatoires et facultatifs de SPC qui reçoivent le Service Internet d'entreprise ont choisi de le recevoir. Pour résumer, ces organisations contribuent au cycle vertueux du cadre et en profitent, comme il est mentionné ci-dessus. En revanche, d'autres organisations fédérales restent à l'extérieur du périmètre sécurisé du gouvernement et de la protection offerte par les mesures de cyberdéfense du CST. En dépit de la vulnérabilité qui touche ces organisations, aucun fonds n'est consacré à intégrer certaines d'entre elles, comme les petits ministères et organismes, aux services de sécurité plus vastes de SPC, y compris le Service Internet d'entreprise. Cela revêt une importance considérable. Comme l'a entendu le Comité:
[traduction] Les passerelles Internet et les connexions à Internet ont été regroupées, en commençant par seulement les 43 grands ministères et organismes sous le mandat de SPC. Tous les petits ministères et organismes ont été laissés à eux-mêmes.[...] Il est essentiel de les intégrer aux moyens de SPC et du CST pour les protéger. Ils ont besoin de ces services plus que quiconque. Note de bas de page 361
250. Troisièmement et finalement, de toutes les organisations gouvernementales qui reçoivent la protection des capteurs de cyberdéfense du CST, la majorité est protégée parce qu'elle reçoit le Service Internet d'entreprise. En d'autres mots, il s'agit du moyen d'obtenir la protection avancée du CST. Des*** organisations fédérales qui reçoivent au moins un capteur de cyberdéfense du CST, *** d'entre elles profitent de la protection offerte par les mesures de défense dynamique ***.*** Quelques ministères ont conclu leur propre entente bilatérale avec le CST concernant le déploiement de capteurs réseau. Le Comité fait l'éloge des efforts de SPC et du CST visant à assurer une protection exhaustive pour les systèmes gouvernementaux. Pour le moment, la préoccupation est plutôt de mettre en place la cyberprotection du CST dans les organisations qui ne sont pas considérées comme étant des ministères et organismes, mais qui sont quand même liées numériquement au gouvernement fédéral.
Sociétés d'État et intérêts gouvernementaux
251. Les 75 organisations qui ne sont pas touchées par l'orientation du Conseil du Trésor et le Service Internet d'entreprise sont principalement des sociétés d'État et certains « intérêts » gouvernementaux. Ces sociétés et intérêts ont été créés par le gouvernement pour diverses raisons et leur mandat est défini de façon indépendante de l'orientation gouvernementale à certains niveaux. Certains ont une latitude considérable pour concevoir et protéger leur propre infrastructure de technologie de l'information, et bon nombre d'entre eux font affaire avec des entreprises du secteur privé pour obtenir leur infrastructure, héberger leurs données et protéger leurs systèmes. Néanmoins, ces organisations doivent, au bout du compte, se conformer aux exigences fiduciaires et de responsabilisation de la Couronne. Tout particulièrement aux fins du présent examen, ces organisations reçoivent, conservent et utilisent de l'information sensible de Canadiens et d'entreprises canadiennes, de l'information qui n'est pas à l'abri de la compromission par les cyberacteurs les plus expérimentés, y compris les états. Tout fois, elles n'ont pas à respecter les politiques du Conseil du Trésor visant à assurer la sécurité de leur infrastructure de technologie de l'information. Elles sont aussi exclues des sections exécutoires des décrets d'habilitation de SPC et la majorité n'obtient donc pas de services de cyberdéfense de SPC. Il en résulte que la plupart d'entre elles ne profitent pas de la protection du Service Internet d'entreprise du CST. Par conséquent, ces organisations risquent donc de manière inquiétante de perdre leurs propres données et, lorsqu'elles maintiennent des liaisons électroniques avec des ministères connexes, de devenir par inadvertance un vecteur vers les systèmes sécurisés du gouvernement, mettant en danger les données et les systèmes du gouvernement.
252. Le Comité reconnaît l'importance de l'indépendance pour les sociétés d'État et, le cas échéant, les intérêts gouvernementaux. L'indépendance du mandat est essentielle pour protéger l'intégrité d'aspects importants de l'ordre public, y compris l'administration de la justice ou des systèmes financiers et économiques du Canada. Le Comité tient à souligner deux points, par contre, pour déterminer si l'indépendance du mandat doit équivaloir à un contrôle exclusif des données, des systèmes et des réseaux. Premièrement, il est évident que les produits et les services disponibles sur le marché offrent une protection insuffisante contre les cybermenaces les plus pointues. La Chine et la Russie ont montré à maintes reprises qu'elles sont capables de pénétrer des systèmes et des réseaux bien défendus, particulièrement ceux qui ne sont pas protégés par des mesures de cyberdéfense aussi perfectionnées et appuyées par l'État. La protection offerte par le CST et SPC est peut-être imparfaite, mais la combinaison de leurs mesures de cyberdéfense offre la probabilité la plus élevée de protéger les données du gouvernement et l'intégrité de ses systèmes à l'avenir.
253. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. ***] Deuxièmement, les sociétés d'État et d'autres intérêts gouvernementaux sont les cibles de cyberactivités étatiques et de cybercriminels, comme l'ont montré des incidents précis au cours des dernières années. De façon plus générale, la Russie, la Chine et d'autres états prennent pour cible des fournisseurs d'infrastructure essentielle, y compris ceux mentionnés dans le Rapport annuel de 2020 du Comité, et des fournisseurs américains de gaz naturel et d'électricité. Au Canada, certaines organisations de l'infrastructure essentielle sont des sociétés d'État. D'après les comportements connus liés aux cybermenaces étatiques les plus perfectionnées, il serait naïf de croire que ces organisations ne seraient pas éventuellement prises pour cible (ou ne sont pas actuellement des cibles), que ce soit à des fins d'espionnage ou de dégradation du système.
254. Dans le contexte que de telles organisations se trouvent dans la zone de protection de SPC et du CST, le Comité reconnaît que les organisations pourraient avoir des préoccupations sur le plan de la confidentialité au sujet du CST, en particulier la surveillance du trafic, des courriels ou de la navigation Web sur le réseau du système. À cet égard, le Comité Prend note des conclusions du commissaire du CST, qui estime que les incidences liées à la confidentialité étaient très faibles en ce qui concerne les activités de cyberdéfense du CST menées au titre d'une autorisation ministérielle, un facteur important à prendre en considération pour les organisations qui invoquent la confidentialité comme raison de rester à l'extérieur du cadre de cyberdéfense du gouvernement. Encore plus important pour le Comité est le choix auquel font face les sociétés d'État et les intérêts pertinents : se fier au gouvernement, au moyen d'un mécanisme réglementaire rigoureux doté de contrôles solides en matière de confidentialité et d'examen externe, pour protéger les données, les systèmes et les réseaux de l'exploitation et d'une dégradation possible, ou accepter la probabilité relativement élevée que des cyberacteurs perfectionnés compromettent les systèmes de ces organisations et volent les données qu'elles détiennent. Pour le Comité, les conséquences de ce choix sont claires: refuser les services de cyberdéfense du gouvernement équivaut à choisir de rendre les données et l'intégrité des systèmes vulnérables aux cybermenaces les plus avancées du monde.