Conclusion
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

255. Le gouvernement dépend grandement de son infrastructure numérique: elle lui permet de mener ses activités et de fournir des services à la population canadienne. Par conséquent, les systèmes et les réseaux du gouvernement contiennent d'importantes quantités de données qui intéressent les États étrangers, dont certains se servent de méthodes sophistiquées pour pénétrer dans les systèmes et voler les données. En outre, il se peut que certains de ces États ciblent de plus en plus l'intégrité même de ces systèmes en y installant des logiciels malveillants qui pourraient ensuite être activés afin de compromettre les systèmes ou les rendre inutilisables. Il s'agit d'une menace envers la sécurité nationale du Canada et la protection des renseignements personnels des Canadiennes et des Canadiens.

256. Au cours de la dernière décennie, le Canada a mis sur pied un système de cyberdéfense solide pour contrer cette menace. Ce système repose sur trois organisations : le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada et le Centre de la sécurité des télécommunications. Ces organisations travaillent en étroite collaboration, entre elles et avec d'autres ministères, pour rendre la cyberinfrastructure du gouvernement plus sécuritaire et renforcer ses mesures de cyberdéfense. Sous sa forme la plus pure, le système peut se résumer en quelques éléments clés :

  • les systèmes du gouvernement sont rassemblés à l'intérieur d'un seul périmètre;
  • le périmètre comporte quelques points d'accès à Internet;
  • ces points d'accès sont surveillés au moyen de capteurs avancés pouvant détecter et bloquer les menaces connues;
  • des mécanismes de cyberdéfense sont superposés et comportent des capteurs spécialisés pouvant détecter et bloquer les menaces déployées sur des appareils personnels et des environnements infonuagiques;
  • des anomalies relatives au trafic du réseau sont analysées en vue de cerner de nouvelles menaces, et cette information permet de continuellement mettre à jour les mesures de cyberdéfense***qui servent à détecter et à bloquer les menaces;
  • les ministères mettent continuellement à jour leurs appareils et leurs systèmes et y apportent des correctifs selon les directives, les conseils et l'orientation des trois organisations.

257. Le système de cyberdéfense en place n'a pas encore atteint cet idéal. Le fait que la gestion du système est de plus en plus horizontale et que les pouvoirs fondamentaux demeurent verticaux représente un obstacle global. Il en résulte donc d'importants écarts : les politiques du Conseil du Trésor visant à rendre les systèmes du gouvernement plus sécuritaires ne sont pas appliquées de manière uniforme; les ministères et les organismes conservent une certaine latitude à savoir s'ils adhèrent au cadre ou s'ils acceptent certaines technologies de défense; et un grand nombre d'organisations, notamment des sociétés d'État et possiblement des secteurs d'intérêt du gouvernement, ne respectent pas les politiques du Conseil du Trésor ou n'utilisent pas le cadre de cyberdéfense.

258. La menace que ces écarts présentent est indéniable. Les données des organisations qui ne sont pas protégées par le cadre de cyberdéfense courent un risque important. De surcroît, puisqu'on maintient une connectivité numérique avec les organisations faisant partie du cadre de cyberdéfense, les organisations qui ne sont pas protégées pourraient représenter un maillon faible des mesures de défense du gouvernement, créant un risque pour le gouvernement dans son ensemble. Le gouvernement connaît très bien ces obstacles. Le Comité s'attend à ce que son examen et ses recommandations contribuent à les résoudre.