Allocution d’ouverture du CA STI : Comité sénatorial permanent des banques et du commerce

Monsieur le Président, distingués membres du Comité. Je suis Scott Jones, sous-ministre adjoint de la Sécurité des TI, au Centre de la sécurité des télécommunications. André Boucher, directeur général des Partenariats en cybersécurité, m’accompagne aujourd’hui. Nous sommes heureux d’être des vôtres pour vous assister dans vos études préliminaires sur la cybersécurité et la cyberfraude.

Il s’agit d’un sujet fort à propos et extrêmement important. Comme vous le savez, le Canada fait partie des pays comptant le plus grand nombre de connexions à Internet. Chaque jour, nous entendons parler de la façon dont le commerce électronique stimule la croissance économique et offre de nouvelles occasions à tous les secteurs de l’économie, ce qui comprend, entre autres, les services bancaires et les ventes en ligne.

Bien entendu, les Canadiens ne peuvent récolter les fruits du commerce électronique que s’ils sont en mesure de mener en toute confiance leurs activités en ligne.

Malheureusement, nous avons tous été témoins de cybercompromissions qui ont mené à d’importantes pertes financières, ou encore porté atteinte à la propriété intellectuelle ou à la réputation d’une entreprise. De nos jours, les auteurs de cybermenaces ont des motivations et des capacités diverses, et présentent différents niveaux de menaces. Il s’agit notamment d’auteurs parrainés par un État, d’hacktivistes, de criminels et de terroristes capables de provoquer maintes perturbations, allant des attaques par rançongiciel à la divulgation de renseignements personnels.

Je peux d’ailleurs vous dire qu’à titre de responsables de la Sécurité des TI au CST, le principal organisme technique chargé de la cybersécurité du gouvernement, nous nous préoccupons grandement des vulnérabilités auxquelles les Canadiens s’exposent en ligne en raison de ces auteurs de menaces.

Mon objectif aujourd’hui est de répondre à vos questions et de vous aider à mieux comprendre ce qu’est le CST, ce qu’il fait et la façon dont il collabore avec ses partenaires du gouvernement et, plus particulièrement, avec le secteur privé, pour aider à protéger l’information importante du Canada.

Comme il s’agit de mon premier témoignage devant ce comité, permettez-moi de prendre quelques instants pour vous parler du CST.

Le CST est l’un des principaux organismes de sécurité et de renseignement du Canada. Le mandat du CST est énoncé dans la Loi sur la défense nationale et l’organisme relève du ministre de la Défense nationale. Notre mandat compte trois volets.

La partie A comprend la collecte de renseignement étranger, conformément aux priorités en matière de renseignement du gouvernement du Canada.

La deuxième partie de notre mandat, la partie B, autorise le CST à fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada. Ce sont les activités qui sont menées sous ma direction.

Enfin, le troisième volet de notre mandat, la partie C, consiste à fournir de l’assistance technique et opérationnelle aux organismes fédéraux qui sont chargés de l’application de la loi et de la sécurité en vertu des fonctions que la loi leur confère.

Le CST est le centre d’excellence du Canada en matière de cyberopérations. Nous misons sur notre expertise technique du cyberenvironnement pour assurer la surveillance des systèmes du gouvernement fédéral afin de repérer les cybermenaces complexes et d’agir pour les neutraliser. Nos activités s’étendent bien au-delà du gouvernement fédéral. En outre, puisque la cybersécurité est la responsabilité de tous, le CST contribue à soutenir le secteur privé, particulièrement les infrastructures essentielles, en prodiguant de l’information et des conseils sur l’atténuation des cybermenaces. Il est ainsi possible de mieux protéger leurs systèmes et l’information importante qu’ils renferment.

Les partenariats sont essentiels à la réussite de la mission de notre organisme. Nous savons qu’un échange d’information efficace facilite la gestion et l’atténuation des répercussions d’une cybermenace. C’est pourquoi nous travaillons en étroite collaboration avec nos principaux partenaires, tels que Sécurité publique, le Centre canadien de réponse aux incidents cybernétiques, l’organisme Échange canadien des menaces cybernétiques et le Conseil consultatif canadien pour la sécurité des télécommunications, pour concevoir une capacité plus robuste, capable de résister aux menaces et de défendre nos systèmes contre les diverses cybermenaces qui planent aujourd’hui.

Il importe toutefois de souligner que même les systèmes les plus sécurisés peuvent se révéler inefficaces s’ils ne sont pas utilisés correctement. Notre travail consiste essentiellement à mieux faire connaître les enjeux liés à la cybersécurité. À la lumière des nombreux conseils sur l’atténuation des cybermenaces que nous avons offerts aux ministères du gouvernement du Canada au fil des ans, nous avons élaboré les 10 meilleures mesures de sécurité des TI en vue d’aider à réduire considérablement la menace contre tous les types d’organismes. Vous trouverez la liste sur notre site Web ainsi qu’une panoplie de conseils, d’avis et d’alertes. Par ailleurs, nous publions souvent des messages traitant des pratiques exemplaires en matière de cybersécurité sur notre compte Twitter et notre site Web afin de mieux sensibiliser le public.

Je suis particulièrement heureux de m’adresser à vous sur cet enjeu important en ce mois d’octobre puisqu’il s’agit du Mois de la sensibilisation à la cybersécurité. Dans le cadre de cet événement, on incite les Canadiens, les ministères et les organismes du gouvernement du Canada, à faire la promotion des pratiques à adopter pour accroître la cybersécurité. Je ne saurais trop insister sur le fait que la cybersécurité est une responsabilité qui incombe à tous; aucune entité ne peut la garantir à elle seule. Nous devons mettre en place une cybersurveillance de quartier. Pour mieux protéger l’information sensible du Canada, il est primordial que nous prenions tous part aux initiatives liées à la cybersécurité. En unissant nos efforts, nous rendrons le Canada plus fort et plus résilient contre les cybermenaces.

C’est pourquoi le CST procède aujourd’hui à la diffusion d’Assemblyline, un outil d’analyse et de détection de maliciels développé par l’organisme dans le cadre de son Programme de cyberdéfense en vue de détecter et d’analyser les fichiers malveillants dès leur réception. Assemblyline aidera les petites et grandes entreprises à mieux protéger leurs données contre le vol et la compromission. La plupart des logiciels de ce type sont exclusifs à une entreprise et ne sont pas mis à la disposition de la collectivité de développement de logiciels.

Le CST met son outil Assemblyline à la disposition des entreprises, des chercheurs du secteur privé dans le domaine des logiciels malveillants, de l’industrie et du milieu universitaire. La diffusion d’Assemblyline sert à la fois les intérêts du Canada et le travail qu’effectue le CST pour protéger les systèmes canadiens. La collectivité de la cybersécurité pourra ainsi assurer de concert l’évolution de ce logiciel de source ouverte fort utile.

Si j’ai l’occasion de m’adresser à ce comité une seconde fois, j’espère être en mesure de faire part aux membres du comité des résultats d’Assemblyline. Entre-temps, je vous remercie de me donner l’occasion de participer à cette étude. Mon collègue et moi nous ferons une joie de répondre à vos questions.