Cybersécurité et assurance de l’information

Le 1er août 2019, la Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) est entrée en vigueur. Nous procédons à la mise à jour de notre site Web pour tenir compte des changements apportés aux pouvoirs confiés au CST et des nouvelles mesures de reddition de comptes et de transparence.

Que dit la Loi sur le CST?

En vertu de la loi proposée, le CST serait autorisé à :

  • fournir des avis, des conseils et des services pour aider à protéger :
    • l’information électronique et les infrastructures d’information des institutions fédérales,
    • l’information électronique et les infrastructures d’information désignées, par le ministre, comme étant importantes pour le gouvernement fédéral;
  • acquérir de l’information provenant de l’infrastructure mondiale d’information ou d’autres sources, pour être en mesure de fournir lesdits avis, conseils et services.

Qu’est-ce que cela signifie?

En plus de son mandat actuel, qui consiste à garantir la cybersécurité et l’assurance de l’information, le CST serait appelé à défendre des réseaux essentiels autres que ceux du gouvernement du Canada. La Loi sur le CST proposée permettrait également au CST de partager des informations concernant les cybermenaces avec les propriétaires de systèmes autres que les systèmes fédéraux pour qu’ils puissent protéger adéquatement leurs réseaux respectifs ainsi que les informations qui y sont conservées. Par exemple, le CST serait en mesure de partager une partie importante de l’information dont il dispose concernant les cybermenaces avec les responsables d’infrastructures essentielles, notamment les entreprises de télécommunications et les banques. Le CST serait également à même de déployer des outils de cybersécurité uniques dans les réseaux non gouvernementaux, suivant une demande des responsables de ces réseaux. Ces nouvelles activités permettraient d’assurer une protection accrue des renseignements et des réseaux informatiques essentiels contre les compromissions, renforçant du même coup les mesures de cyberdéfense du pays.

Pourquoi ces changements sont-ils nécessaires?

Le Canada constitue une cible attrayante pour les auteurs de cybermenaces. Notre sécurité nationale, notre mieux-être et notre prospérité économique dépendent grandement de l’utilisation de l’Internet et du fonctionnement optimal de nos cybersystèmes.

En vertu de la Loi sur le CST proposée, le CST aurait l’autorisation d’employer ses outils dans le but de contribuer à la protection des informations essentielles que les Canadiens ont confiées au gouvernement du Canada ainsi qu’à nombre d’entreprises privées.

Transparence et reddition des comptes

Les activités de cybersécurité du CST sont uniques et jouent un rôle prépondérant dans la protection du Canada et des Canadiens contre les cybermenaces. Toutefois, dans le cadre de ses opérations de cybersécurité et d’assurance de l’information, le CST n’est autorisé à cibler ni les Canadiens ni les personnes se trouvant en territoire canadien. La Loi du CST proposée ne modifierait aucunement cette disposition.

Suivant les dispositions de la Loi sur le CST proposée, le CST serait assujetti à de nouvelles mesures visant à garantir la transparence et la reddition de comptes. La Loi sur le CST proposée fournirait aux Canadiens et aux entités auxquelles le CST est appelé à rendre des comptes – notamment l’éventuel commissaire au renseignement, l’éventuel Office de surveillance des activités en matière de sécurité nationale et de renseignement, le commissaire à la protection de la vie privée et les parlementaires –, une idée plus précise des pouvoirs juridiques du CST. En outre, la Loi prévoit l’imposition de certaines contraintes visant les mandats du CST en matière de cybersécurité et d’assurance de l’information :

  • l’interdiction légale explicite de cibler les Canadiens et les personnes se trouvant au Canada;
  • exigence légale expresse de protéger les Canadiens et les personnes se trouvant en territoire canadien;
  • un régime d’autorisations ministérielles élargi applicable à toute acquisition, par le CST, d’informations provenant de l’infrastructure mondiale d’information lorsqu’une telle activité est habituellement contre la loi ou lorsque l’information présente un intérêt concernant la vie privée.

Avant qu’une autorisation aux fins de cybersécurité puisse entrer en vigueur, le ministre de la Défense nationale doit avoir obtenu l’autorisation du commissaire au renseignement. Lorsqu’il délivre une autorisation liée à la cybersécurité ou au renseignement étranger, le ministre doit veiller au respect des conditions énoncées dans la loi, notamment que les activités proposées sont raisonnables, nécessaires et proportionnelles, et que les mesures de protection de la vie privée requises sont en place. Avant d’approuver une autorisation, le commissaire au renseignement doit s’assurer que les conclusions ministérielles connexes sont raisonnables.