Résumé de l’examen sur les moyens de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement : Rapport annuel 2021

10. Le 17 septembre 2020, le Comité a annoncé son examen du cadre et des activités du gouvernement du Canada pour défendre ses systèmes et réseaux contre les cyberattaques. La version classifiée du rapport spécial du Comité a été présentée au premier ministre le 11 août 2021 et déposée devant le Parlement le 14 février 2022. Ce premier examen du genre décrit la menace que les auteurs de cybermenaces malveillants font peser sur les systèmes du gouvernement, montre l’évolution des politiques et lois du gouvernement du Canada en matière de cyberdéfense, étudie les rôles et responsabilités des organisations gouvernementales compétentes, et examine des études de cas pertinentes présentant des cas où les systèmes du gouvernement ont été la cible de cyberattaques.

Les réseaux du gouvernement du Canada constituent un élément crucial des infrastructures essentielles du Canada.

11. Dans le cadre de cet examen, le Comité a étudié des documents en provenance des trois organisations jouant un rôle central dans le développement et la mise en oeuvre du cadre de cyberdéfense du gouvernement : le Centre de la sécurité des télécommunications (CST), le Secrétariat du Conseil du Trésor du Canada (SCT) et Services partagés Canada (SPC). Le Comité a reçu des documents couvrant la période de 2001 à 2021, principalement pour explorer l’évolution de la compréhension du gouvernement sur les cybermenaces, ainsi que les autorisations, les mécanismes de gouvernance et les activités nécessaires pour y répondre. Le Comité a tenu quatre audiences, deux en 2020 et deux en 2021. Il a rencontré 12 cadres supérieurs du CST et du SCT, et a examiné plus de 2 500 documents, faisant plus de 37 000 pages au total.

12. Le Comité a formulé quatre conclusions (voir à l’annexe A). Premièrement, les cybermenaces contre les systèmes et réseaux du gouvernement présentent un risque considérable pour la sécurité nationale et la continuité des opérations du gouvernement. Les réseaux du gouvernement du Canada constituent un élément crucial des infrastructures essentielles du Canada. Le gouvernement y a recours pour recueillir et conserver de l’information, comme les dossiers fiscaux, et pour fournir des services fondamentaux, comme l’assurance-emploi, aux Canadiens et aux entreprises canadiennes. L’information que les réseaux détiennent représente également une valeur considérable pour les adversaires du Canada, comme les auteurs de cybermenaces parrainés par l’État et les cybercriminels.

13. Deuxièmement, le gouvernement a bâti un cadre de cyberdéfense « horizontal » solide pour défendre ses systèmes et réseaux contre les cyberattaques. L’évolution de ce cadre s’est déroulée de façon inattendue et réactive, mais aussi de façon délibérée et prévue. Des modifications législatives ont fourni de nouveaux pouvoirs, notamment dans les autorisations ministérielles de 2001 liées aux activités de cyberdéfense dans le cadre desquelles des communications privées pourraient être interceptées et dans les autorisations ministérielles de 2019 pour protéger les infrastructures électroniques non fédérales, qui ont entraîné la création d’activités visant à renforcer la sécurité des systèmes gouvernementaux et, éventuellement, à mieux les défendre. Au même moment, les principaux auteurs de cybermenace ont forcé le gouvernement à adapter ses moyens de défense, particulièrement après des cyberincidents critiques qui ont entraîné d’importantes pertes de données et mis en exergue la vulnérabilité de ministères distincts et du gouvernement de façon générale. Le gouvernement a réagi en élaborant des stratégies et des politiques clés, en investissant dans la modernisation de la technologie de l’information et des moyens de cyberdéfense, et en créant des organisations dont la tâche est de corriger les faiblesses du système.

14. Ce faisant, le gouvernement a abandonné son approche de cyberdéfense cloisonnée, ministère par ministère. Il considère désormais le gouvernement comme une « entreprise », où quelques organisations sont responsables de la cyberdéfense de l’ensemble du gouvernement. Au coeur de ce cadre se trouvent trois organisations : le SCT, SPC et le CST. Néanmoins, ce cadre horizontal semble de plus en plus incompatible avec la structure d’autorité « verticale » actuelle du gouvernement, établie par ministère et décrite dans la Loi sur la gestion des finances publiques. Cette structure d’autorité rend les administrateurs généraux responsables en définitive de la protection des systèmes respectifs de leur ministère. Elle leur donne également la latitude d’accepter ou de rejeter les directives du SCT, du CST ou de SPC, mettant ainsi en péril l’efficacité globale du cadre de cyberdéfense.

Le Comité a constaté que la force du système de cyberdéfense du gouvernement est affaiblie par l’application inégale des responsabilités en matière de sécurité et de l’utilisation variable des services de cyberdéfense.

15. Troisièmement, le gouvernement a établi des mécanismes de gouvernance clairs pour soutenir l’élaboration d’une politique stratégique en matière de cyberdéfense, la gestion efficace des projets de technologie de l’information touchant les opérations de l’ensemble du gouvernement, ainsi que la réponse du gouvernement aux cyberincidents. Le cadre a évolué au fil du temps en réponse aux changements apportés aux politiques, à l’appareil et à l’environnement de cybermenace du gouvernement.

16. Quatrièmement, le Comité a constaté que la force du système de cyberdéfense du gouvernement est affaiblie par l’application inégale des responsabilités en matière de sécurité et de l’utilisation variable des services de cyberdéfense. En bref, les organisations fédérales ne bénéficient pas toutes d’une protection en matière de cyberdéfense. Plus important encore, un certain nombre d’organisations et d’intérêts fédéraux ne sont pas assujettis aux directives ou aux politiques du Conseil du Trésor en matière de cyberdéfense et ne sont donc pas obligés d’obtenir des services de cyberdéfense du gouvernement. Certaines de ces organisations, dont des sociétés d’État, ont choisi de ne pas recourir aux services de cyberdéfense du gouvernement, ce qui expose ces organisations et le gouvernement dans son ensemble à un risque considérable face aux cybermenaces les plus avancées. Même parmi les organisations fédérales qui reçoivent des services en matière de cyberdéfense du CST, la protection n’est pas uniforme : les organisations peuvent choisir les services qu’elles souhaitent recevoir et en refuser d’autres. Le Comité a constaté que, bien que le CST fournisse certains services de cyberdéfense à 160 des 169 organisations fédérales, seulement 43 de ces organisations reçoivent l’ensemble des services du CST.

17. Le Comité a formulé deux recommandations pour renforcer le cadre de cyberdéfense du gouvernement et élargir ce cadre le plus possible à l’ensemble des organisations gouvernementales fédérales (voir l’annexe B). D’abord, le Comité a recommandé que le gouvernement continue de renforcer son cadre de défense de ses réseaux contre les cyberattaques en assurant la modernisation des pouvoirs et des programmes en matière de cyberdéfense à mesure de l’évolution de la technologie et d’autres facteurs pertinents. Ensuite, le Comité a recommandé que le gouvernement intègre les politiques, directives et services pertinents en matière de cyberdéfense à toutes les organisations fédérales, dans toute la mesure du possible.

18. Ensemble, les recommandations du Comité visent à assurer une meilleure harmonisation des pouvoirs gouvernementaux à l’« entreprise » de cyberdéfense et à veiller à ce que toutes les organisations fédérales soient les mieux protégées possible par le périmètre sécurisé du gouvernement.

19. Le Comité s’est réjoui de constater que, pour la première fois, le gouvernement a donné au Comité une réponse officielle à ses recommandations. Il s’agit là d’une étape importante vers le renforcement de la responsabilisation et de la transparence.