Discours de Greta Bossenmaier, chef du CST – Point de vue canadien sur la question de la cybersécurité

Discours commémoratif John Tait

Symposium de l’Association canadienne pour les études de renseignement et de sécurité (ACERS)

Le 23 septembre 2016

Point de vue canadien sur la question de la cybersécurité

Bonjour tout le monde.

Merci beaucoup pour cette aimable présentation. John et moi avons eu la chance de participer, plus tôt ce mois-ci, à un événement célébrant le 70e anniversaire du CST au cours duquel nous nous sommes entretenus avec plusieurs anciens chefs de l’organisme.

Les anciens chefs et moi avons eu l’occasion de souligner le travail remarquable effectué par les dévoués employés du CST, génération après génération. J’y reviendrai dans quelques minutes.

C’est un grand honneur d’avoir été invitée au symposium de l’ACERS et particulièrement pour y prononcer le discours commémoratif John Tait.

Je dois dire que prononcer un discours qui rend hommage à John Tait est un privilège particulier pour moi, à titre de chef du CST. L’illustre carrière de John a eu une influence et un impact profonds sur l’ensemble de la fonction publique. Il a joué un rôle déterminant dans le façonnement de la collectivité de la sécurité et du renseignement du gouvernement à la fin des années 1980 et au cours des années 1990.

Encore aujourd’hui, la contribution de John a des effets profonds sur la fonction publique et la collectivité de la S et R. Au cours des années 1990, à titre de coordonnateur de la sécurité et du renseignement, il fut le sous-ministre responsable des politiques et opérations du CST.

Sa réalisation la plus importante est probablement, selon le point de vue du CST, la création d’une relation robuste et professionnelle entre le CST et l’organe d’examen indépendant et externe de l’organisme, le commissaire du CST.

Le commissaire du CST a récemment célébré son propre anniversaire; en effet, depuis 20 ans déjà, il fournit aux Canadiens un examen indépendant et spécialisé des activités du CST.

Mais l’impact de John ne s’arrête pas là. En 1996, il a publié un document révolutionnaire sur les valeurs et l’éthique au sein de la fonction publique intitulé : « De solides assises ». Ce document est aujourd’hui encore aussi significatif qu’il l’était il y a vingt ans.

Le CST s’est appuyé sur ce document pour définir son propre cadre de valeurs.

Et ce document a influencé notre Charte d’éthique actuelle, dont la pierre angulaire est le respect de la loi et l’intégrité. Des valeurs essentielles qui en disent long sur le CST et son effectif.

C’est donc un grand honneur de prononcer aujourd’hui ce discours aux membres de l’ACERS, en hommage à M. John Tait.

Ce matin, je vous parlerai du point de vue canadien sur la question de la cybersécurité.

Un sujet qui tombe à point nommé pour de nombreuses raisons.

Comme vous le saviez peut-être déjà, le gouvernement examine actuellement l’évolution des menaces, les lacunes, les occasions favorables et les enjeux liés à la cybersécurité dans le cadre de son examen de la cybersécurité. Il s’agit d’une discussion décisive sur les politiques et qui se déroule à un moment critique.

Nous devons tous affronter les cybermenaces qui évoluent à un rythme effréné.

Ce matin, je souhaite vous faire part de ce que je considère être le défi que nous devons relever en matière de cybersécurité. Ou, pour être plus précise, des défis que nous devons relever.

Ces défis ne sont pas à prendre à la légère. Nous devrons être très vigilants, déterminés et compétents pour arriver à les relever.

Ces défis représentent, pour le Canada, des occasions remarquables de collaboration, d’innovation, de prospérité économique et de sécurité.

Ensuite, je vous expliquerai comment le CST s’efforce de répondre à la menace à l’aide de ses partenaires du gouvernement et d’autres partenaires.

Enfin, je vous parlerai de ce que nous pouvons faire, collectivement, pour innover et pour être en mesure de relever ces défis.

En premier lieu, j’aimerais partager avec vous certaines réalisations du CST et vous parler de ce que l’organisme fait de nos jours.

Le CST d’hier à aujourd’hui

Comme je vous l’ai mentionné plus tôt, le Centre de la sécurité des télécommunications célèbre cette année son 70e anniversaire. Un jalon capital pour un organisme canadien essentiel. En septembre 1946, le gouvernement a fusionné ses unités de renseignement électromagnétique civile et militaire qui avaient fait d’importantes contributions à l’effort de guerre au cours de la Deuxième Guerre mondiale, pour former la Direction des télécommunications du Centre national de recherche (DTCNR). C’est ainsi que commencèrent les premières 70 années de l’existence de notre organisme.

Depuis 70 ans, les employés du CST ne ménagent aucun effort pour protéger le Canada et les Canadiens contre les menaces. De plus, le CST est le chef de file en matière de protection des informations et des systèmes essentiels du Canada.

En 1994, le Héraut d’armes du Canada a conçu un insigne pour le CST. La devise de l’organisme est en latin et se traduit comme suit : « Fournir et protéger l’information ».

L’histoire du CST trouve ses racines dans le déchiffrement des signaux radioélectriques étrangers pour fournir du renseignement essentiel en temps de guerre au sujet des intentions des adversaires du Canada.

Ce qui est moins connu, c’est que dès les débuts de notre histoire, notre organisme a veillé à assurer la protection des communications et des informations du gouvernement du Canada.

Le CST a été responsable du chiffrement des communications du Canada dans les années 1940 et 1950, et aujourd’hui l’organisme protège les systèmes et les réseaux en ligne du gouvernement, ainsi que les renseignements de nature sensible qui s’y trouvent.

C’est pourquoi « Protéger » est un mot clé de la devise de notre organisme.

Célébrer l’histoire c’est avant tout célébrer les personnes qui ont donné lieu à l’histoire. Je vous assure que les employés du CST, d’hier à aujourd’hui, font partie des personnes les plus intelligentes, dévouées et professionnelles que j’ai rencontrées au cours de ma carrière.

Ils font partie des personnes les plus brillantes de la planète. Et ils consacrent leurs efforts à servir et à protéger les Canadiens avec intégrité et dans le respect de la loi.

Que fait le CST de nos jours?

Comme vous le savez peut-être déjà, le mandat du CST compte trois volets...

Le CST fournit du renseignement étranger au gouvernement. Je mets l’accent sur le mot « étranger ». Il est important de noter qu’en vertu de son mandat de renseignement étranger, le CST ne peut pas diriger et ne dirige pas ses activités de renseignement électromagnétique étranger contre des Canadiens, peu importe où ils se trouvent, ou toute autre personne au Canada.

Le renseignement étranger produit par le CST joue un rôle essentiel par rapport à la protection du Canada, des Canadiens et de nos alliés contre les menaces. Par exemple :

  • Le renseignement sert à protéger les braves hommes et femmes des Forces armées canadiennes. Le renseignement étranger produit par le CST a appuyé des opérations militaires déterminantes notamment en Afghanistan et la mission actuelle en Iraq.
  • Le renseignement étranger du CST nous permet de faire la lumière sur les efforts des extrémistes basés à l’étranger pour attirer et radicaliser des individus et les entraîner à perpétrer des attaques terroristes au Canada et à l’étranger.
  • Et, en lien avec le sujet que nous abordons aujourd’hui, le renseignement nous permet de formuler des avertissements en temps opportun pour contrer les cybermenaces étrangères contre le gouvernement du Canada ainsi que les réseaux et les infrastructures d’information essentielles du Canada.

La deuxième partie du mandat du CST porte sur la cybersécurité. Le CST a pour mandat de fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada.

Et en troisième lieu, le CST a le mandat de fournir une assistance technique aux organismes fédéraux chargés de l’application de la loi et de la sécurité. Nous fournissons de l’assistance seulement lorsqu’un organisme nous en fait la demande et nous respectons l’autorisation juridique de l’organisme demandeur.

Ce matin, je me concentrerai sur la partie de notre mandat portant sur la cybersécurité.

Il s’agit d’un élément absolument critique de la manière dont le CST sert et protège le Canada et les Canadiens.

Pourquoi? Parce que le monde en ligne joue un rôle clé dans le quotidien des Canadiens. Le cyberespace nous connecte socialement, fait rouler notre économie et est lié à notre prospérité et notre sécurité collective.

Internet au quotidien

Les Canadiens passent beaucoup de temps sur Internet.

Les Canadiens font partie des personnes les plus technologiquement branchées de la planète. Voici quelques statistiques...En juillet 2016, le Canada comptait environ 32 millions d’internautes. Sur une population de 36 millions, cela représente une proportion très élevée.

Les Canadiens sont très branchés, donc ce n’est pas une surprise de constater qu’ils peuvent accéder à plus de 200 services du gouvernement fédéral en ligne.

Et ce nombre croît chaque jour. On peut faire ses impôts en ligne. Les anciens combattants peuvent remplir leur demande d’allocation en ligne. Les aspirants à devenir Canadiens peuvent vérifier l’état de leur demande de citoyenneté en ligne. Tout cela grâce à un ordinateur.

Si l’on ajoute à cela les services en ligne offerts par les provinces, les territoires et les municipalités, on compte alors des milliers de services en ligne.

En outre, l’ampleur du commerce électronique au Canada croît année après année, tant en valeur pécuniaire qu’en importance pour notre économie nationale.

D’après un sondage effectué en 2016 par Yahoo Canada, plus de deux tiers des internautes utilisent des services bancaires en ligne au moins une fois par semaine. En revanche, seulement 16 pour cent affirment se rendre en personne à leur banque.

En 2014, l’année la plus récente pour cette statistique, les ventes en ligne ont totalisé 136 milliards de dollars au Canada.

Et ce nombre augmente. Il est plausible de croire qu’aujourd’hui les ventes en ligne représentent un montant encore plus important.

Presque quatre pour cent de notre produit intérieur brut dépend directement d’Internet.

En fait, presque tous les aspects de la vie des Canadiens dépendent d’une manière ou d’une autre d’Internet : des finances à l’électricité, en passant par l’éducation, la recherche, le développement, les transports, le divertissement, les relations sociales, etc.

Nos activités en ligne sont de plus en plus mobiles. D’après une statistique de 2014, deux tiers des Canadiens possèdent un téléphone intelligent et la moitié des Canadiens possèdent une tablette électronique. Encore une fois, imaginons comment ces proportions ont pu augmenter en deux ans.

Ce qui est merveilleux en ce qui concerne la commodité, le commerce, la vitesse, l’innovation et la mobilité.

Cela m’amène à parler du défi fondamental que nous devons relever.

Pour que nous puissions profiter des nombreux avantages que la technologie liée à Internet peut nous offrir, nous devons pouvoir l’utiliser en toute confiance.

Lorsque les Canadiens interagissent en ligne ou qu’ils effectuent un achat, qu’ils accèdent à un service du gouvernement ou qu’ils suivent des cours sur Internet, ils doivent pouvoir le faire en toute sécurité et en toute confiance.

Mais ce n’est pas ainsi qu’Internet a été conçu.

Au début, seuls des chercheurs universitaires se servaient d’Internet pour y partager des idées, des réflexions et des sujets de recherche innovants. La sécurité n’a été planifiée qu’en un deuxième temps.

Au fil des décennies, les responsables de la cybersécurité sont devenus de plus en plus occupés à combler les lacunes en matière de sécurité et à trouver des solutions inédites à des problèmes uniques.

Nos efforts en matière de cybersécurité visent à aller et demeurer au-devant des cybermenaces pour que les Canadiens puissent utiliser les technologies en ligne en toute confiance.

Cela représente en gros le défi qu’est la cybersécurité.

Le coût des compromissions

Le défi auquel nous faisons face se trouve dans les manchettes jour après jour.

Des compromissions arrivent fréquemment, nous n’avons qu’à penser à Home Depot, Sony, Eddie Bauer, Yahoo ou à l’Agence mondiale antidopage.

Les compromissions peuvent coûter très cher et entraîner des pertes importantes, que ce soit en matière de propriété intellectuelle ou des frais à débourser pour faire cesser les dommages et réparer les pots cassés.

Les compromissions sont coûteuses en temps et en ressources essentielles.

Elles peuvent nuire aux organismes ou aux entreprises et ternir leur réputation et diminuer la confiance que le public leur accorde.

En quelques mots : les cybercompromissions coûtent cher.

À l’instar de tout organisme, le gouvernement n’est pas entièrement à l’abri des cyberincidents.

Vous vous souvenez probablement de la compromission qui a touché le Conseil national de recherches en 2014.

Cet incident a causé d’importants dommages et la recherche d’une solution a été longue et coûteuse.

Les cyberattaques sont des leçons onéreuses.

Pourquoi les cybercompromissions arrivent-elles encore?

Le contexte de la menace et des risques

Je vous parlerai maintenant de trois points.

Premièrement, le monde évolutif des auteurs de cybermenaces. Autrefois, les cybermenaces étaient l’apanage des États-nations. Ce n’est clairement plus le cas aujourd’hui. Il est plus facile que jamais de se procurer les outils nécessaires pour exécuter une cybermenace. Les cybermenaces proviennent d’une multitude de sources et elles sont justifiées par de nombreux motifs.

Les cybermenaces visent les entreprises, les gouvernements, les organismes et proviennent de toute une panoplie de sources. Et les motifs qui expliquent les cybermenaces sont tout aussi nombreux.

Les auteurs de menaces parrainés par un État étranger représentent encore une source importante de cybermenaces.

Je ne discuterai pas de l’identité des auteurs étrangers de cybermenaces aujourd’hui. Mais je peux vous dire que l’on compte plus d’une centaine de pays capables de lancer des cyberattaques.

Les cybercriminels sont responsables d’une autre grande partie des cyberattaques. La raison qui explique ce fait est fort simple : le cybercrime peut être extrêmement lucratif.

La dernière tendance en matière de cybercrime dont nous avons tous entendu parler est le rançongiciel. Il s’agit d’une forme de maliciel qui chiffre vos données jusqu’à ce que vous déboursiez une rançon pour les faire déchiffrer, et rien ne garantit que vous ne vous ferez pas reprendre au piège ultérieurement.

Pour leur part, les soi-disant hacktivistes causent des cybercompromissions pour embarrasser leur cible ou pour faire un coup d’éclat.

Et, bien sûr, les terroristes sont actifs dans le cyberespace. Ils se servent du cyberespace pour en tirer des profits, pour faire de la propagande et, comme pour le reste des activités des terroristes, pour faire naître la peur.

Les tentatives de cyberattaques s’accroissent proportionnellement à l’augmentation du nombre et des types d’auteurs de cybermenaces.

Les systèmes du gouvernement sont sondés plus de cent millions de fois par jour par des auteurs de cybermenaces à la recherche de vulnérabilités.

Aujourd’hui, les auteurs de cybermenaces sont plus nombreux que jamais, ils ont plus de raisons que jamais pour justifier leurs attaques et il est plus facile que jamais d’obtenir les outils et les connaissances nécessaires pour effectuer une cyberattaque.

C’est donc une situation de faible investissement pour un haut rendement. Nous nous efforçons de changer cette équation en faisant la vie dure aux cybercriminels et en rendant la réussite plus difficile à atteindre pour les auteurs de cybermenaces. Pour leur part, nos collègues des organismes responsables de l’application de la loi s’efforcent d’engager des poursuites judiciaires contre les cybercriminels.

En deuxième lieu, je veux revenir sur ce que je disais plus tôt au sujet du fait que l’on a peu tenu compte de l’aspect sécurité lors de la conception d’Internet et des nombreuses améliorations qui y ont été apportées au fil des années.

Cela s’applique aussi à l’évolution du matériel et des logiciels au fil des années.

J’ai été dirigeante principale de l’information dans plusieurs ministères et je peux vous affirmer qu’auparavant, les technologies informatiques étaient isolées et plutôt simples. Certaines parties des technologies (logicielles et matérielles) sont communes à tout ce dont nous disposons au gouvernement.

Mais au fil des années, de nouvelles technologies ont été conçues et concrétisées. Or, souvent, les nouvelles technologies s’ajoutent aux anciens éléments communs au lieu de les remplacer.

Et ces éléments communs se retrouvent partout.

Et ils comptent leur lot de vulnérabilités.

Donc, nous nous retrouvons avec des technologies complexes, stratifiées et qui comportent des vulnérabilités qui peuvent avoir de grandes répercussions.

Un exemple récent, datant de 2014, qui illustre cette réalité est la vulnérabilité de Open SSL, mieux connue sous le nom de Heartbleed. Dans cet exemple, une seule vulnérabilité a rendu la moitié de l’Internet vulnérable à une simple exploitation.

Le gouvernement a été l’un des organismes touchés par cette vulnérabilité. L’Agence du revenu du Canada a dû fermer son site Web et interrompre ses services. En plein temps des impôts. Voilà qui illustre bien le coût des cybercompromissions.

Enfin, le troisième point que je voulais aborder est un sujet que l’on ne peut éviter quand on parle de la menace et du contexte actuel des risques : c’est-à-dire l’informatique quantique.

La protection des cybersystèmes et de l’information sera bientôt une affaire beaucoup plus corsée lorsque l’informatique quantique sera mise au point.

La capacité de traitement astronomique de l’informatique quantique nous offrira des possibilités inespérées. Il pourrait en résulter des percées incroyables dans les domaines de l’ingénierie, de la médecine et des sciences.

En outre, cette nouvelle technologie pourrait rendre toutes les méthodes actuelles de chiffrement inefficaces et obsolètes. Pratiquement toutes les entreprises, tous les gouvernements et organismes utilisent une manière ou une autre de chiffrement.

La plupart des Canadiens ne le réalisent peut-être pas, mais le chiffrement fait partie de leur quotidien. Les technologies liées aux cartes de crédit, de débit, aux laissez-passer pour le travail, pour ne citer que ces exemples, reposent toutes sur le chiffrement.

En outre, le chiffrement est au cœur de la protection des systèmes et des informations du gouvernement.

Il est capital que nous nous penchions collectivement sur la question de l’informatique quantique, sinon, les systèmes et les renseignements de toutes les entreprises, de tous les ministères, organismes et, possiblement, de toutes les personnes se trouvant au Canada pourraient devenir vulnérables.

La question n’est pas de savoir si l’informatique quantique deviendra une réalité, mais quand l’informatique quantique deviendra une réalité.

Certains experts croient que l’informatique quantique pourrait se concrétiser au cours des dix prochaines années.

Le compte à rebours est commencé.

Vous aurez l’occasion d’en apprendre plus sur l’informatique quantique aujourd’hui, dans le cadre de la présentation de Ray Laflamme de l’Université de Waterloo.

L’Institut d’informatique quantique de l’Université de Waterloo effectue des recherches incroyables dans ce domaine. Restez à l’écoute!

Vous avez maintenant une idée des défis que nous devons relever. Face à tous ces défis, comment pouvons-nous tirer parti de tous les avantages et du potentiel que la technologie met à la disposition de notre société, de manière sûre et avec confiance?

Laissez-moi vous présenter mon point de vue sur la question. Nous parviendrons à relever ce défi en faisant preuve d’unité. Tous ensemble, nous pouvons innover. Le mot clé étant « ensemble ».

Mais avant d’aborder ce sujet, je veux vous parler de manières précises dont le CST intervient pour régler les enjeux liés à la cybersécurité.

Comment intervient le CST : les partenariats

Les partenariats sont au cœur de nos efforts.

Le CST a la réputation d’être un « organisme d’espionnage très secret ». Cela laisse entendre que nous nous enfermons dans nos bureaux et que nous ne parlons à personne. Or, cette perception n’a rien à voir avec notre réalité, comme vous le verrez.

Premièrement, je vous parlerai de nos partenariats au sein du gouvernement, et je commencerai avec un partenaire clé du CST : Services partagés Canada, ou SPC.

Avant la création de SPC, chaque ministère avait ses propres systèmes et réseaux.

La manière dont le CST travaillait avec tous ces ministères manquait un peu d’uniformité.

La plupart du temps, quand nous constations une possible menace dans le réseau d’un ministère, on écrivait un rapport à ce sujet.

Puis, l’on transmettait ce rapport au ministère qui ensuite intervenait en conséquence. Or, la complexité et les capacités des ministères étaient variables.

Puis, deux événements importants se sont produits.

Premièrement, il y a eu la mise en place de SPC. Au lieu de devoir s’occuper de 43 systèmes appartenant à 43 ministères, on s’occupe désormais d’un seul système.

Disposer de passerelles Internet exploitées par SPC a été une amélioration clé dans la défense des réseaux du gouvernement. Pour le CST, cela représentait un seul ensemble de réseaux à défendre plutôt que 43, une passerelle ou un portail au lieu de 43.

Cela représente un avantage immense en matière de cybersécurité.

À peu près au même moment, le CST a révolutionné la cyberdéfense.

Au lieu de constater un danger, d’en aviser quelqu’un et de travailler sur des solutions individuelles, les experts du CST ont mis sur pied des outils plus automatisés et plus intelligents de détection et de défense pour mieux protéger les réseaux du gouvernement.

Même si je ne peux pas vous décrire en détail les outils classifiés dont nous nous servons, nos capacités robustes nous permettent de détecter rapidement les activités malveillantes et de les empêcher de causer des dommages.

Cet été, j’ai été témoin d’un exemple illustrant mon propos.

Une tentative d’attaque avec des maliciels sophistiqués avait alors ciblé de nombreux ministères du gouvernement du Canada.

Grâce à la passerelle de SPC, aux outils de cyberdéfense du CST et aux mesures prises rapidement par un ministère, nous avons été collectivement en mesure de vite détecter, diagnostiquer, analyser le maliciel et de nous en protéger.

Résultat : les répercussions ont été limitées et aucune donnée canadienne n’a été à risque. D’importants dommages et frais ont pu être évités.

Si cela c’était produit il y a cinq ans, ou même deux ans, les conséquences auraient été très différentes.

Ce n’est qu’un exemple qui illustre les forces des systèmes du gouvernement du Canada : les passerelles Internet exploitées par SPC permettent de mettre en œuvre les services de sécurité et l’expertise du CST efficacement et avec efficience. Ceci dit, nous ne pouvons jamais au grand jamais nous reposer sur nos lauriers. Tous les ministères doivent constamment faire preuve de vigilance.

Nous travaillons en étroite collaboration pour nous assurer de concevoir des systèmes dont l’architecture comporte des éléments de sécurité parfaitement intégrés.

Le CST et SPC travaillent ensemble pour protéger les systèmes du gouvernement du Canada ainsi que les informations importantes que l’on y retrouve.

Cela veut dire moins de compromissions, moins de données perdues, moins d’interruptions de service, moins de dommages à réparer, moins de frais pour les contribuables et de meilleurs services, ainsi qu’une confiance accrue envers la technologie.

Comment le CST soutient le rôle de cybersécurité de Sécurité publique Canada

Nous comptons sur un partenariat essentiel avec Sécurité publique Canada qui est notamment responsable de diffuser les informations au sujet de la cybersécurité pour aider les Canadiens à se protéger, ainsi que leurs familles et leurs entreprises lorsqu’ils utilisent Internet.

Il va donc de soi que Sécurité publique Canada soit aussi bien représentée aujourd’hui dans le programme de l’ACERS. Par exemple, Monik Beauregard, du Secteur de la sécurité et de la cybersécurité nationale de Sécurité publique animera un panel plus tard ce matin.

Le CST et Sécurité publique Canada travaillent ensemble, entre autres, par l’entremise du Centre canadien de réponse aux incidents cybernétiques, le CCRIC. Le CCRIC est notamment responsable de réduire les risques liés à la cybersécurité des systèmes et des services essentiels du Canada, ce qui comprend les banques et les entreprises de télécommunications.

Le CCRIC échange des renseignements sur les cybermenaces et diffuse des conseils en matière de cybersécurité dont tous les Canadiens tirent parti.

De plus, on y coordonne les interventions nationales lorsque surviennent des incidents sérieux liés à la cybersécurité.

Le fonctionnement du CCRIC repose sur des partenariats avec les gouvernements provinciaux et des territoires, avec l’industrie et avec le gouvernement du Canada.

Évidemment, étant donné l’expertise du CST, notre organisme est un partenaire clé du CCRIC. Le CST joue le rôle de conseiller technique du Centre canadien de réponse aux incidents cybernétiques. Lorsque vous consultez un bulletin ou une alerte de cybersécurité du CCRIC, il est fort probable que ce soient les experts du CST qui aient fourni ou validé les informations techniques que vous y retrouvez.

Sécurité publique Canada aide le CST à partager son expertise et à étendre ses partenariats au-delà du gouvernement fédéral. Particulièrement avec l’industrie.

Les partenariats avec l’industrie

Les partenariats avec l’industrie sont primordiaux. Le CST va de l’avant en s’appuyant sur ces partenariats et cherche constamment à les améliorer. Il veut miser sur sa collaboration avec Sécurité publique pour transmettre de l’information à l’industrie.

En décembre dernier, le Conseil canadien des chefs d’entreprise, en collaboration avec plusieurs entreprises canadiennes importantes, a annoncé la mise sur pied de l’organisme Échange canadien des menaces cybernétiques (ECMC).

Cet organisme a comme objectif de diffuser aux entreprises de l’information sur les cybermenaces afin qu’elles puissent mieux se protéger.

L’information sur les cybermenaces est bien entendu précieuse pour ces entreprises, mais elle l’est également pour leurs clients. Sans oublier leurs actionnaires.

Le CST, de concert avec Sécurité publique, joue un rôle important au sein d’ECMC.

Par l’intermédiaire d’ECMC, le CST peut transmettre l’information non classifiée sur les cybermenaces qu’il recueille au moyen de ses capacités uniques.

Il fournit également des outils de cyberdéfense qui permettent aux entreprises de mieux se défendre contre les cybermenaces.

L’ECMC se sert aussi de ses réseaux et de ses contacts pour diffuser les pratiques exemplaires en cybersécurité du CST, ce qui permet d’améliorer la situation au sein de plusieurs secteurs de l’industrie.

Les entreprises peuvent ainsi mieux se défendre contre ces menaces et, par le fait même, mieux protéger leur information. Par conséquent, l’information des Canadiens est elle aussi mieux protégée.

Partenariats universitaires

En plus d’établir des partenariats avec le gouvernement et le secteur privé, le CST conclut des partenariats avec des universités et des groupes de recherche de pointe.

Ce qui m’amène d’ailleurs à vous parler de l’Institut Tutte pour les mathématiques et le calcul du CST. Cet institut n’est pas reconnu ni apprécié à sa juste valeur. C’est l’un des premiers instituts de ce genre, et je suis heureuse de pouvoir vous en parler quelques minutes.

L’Institut Tutte pour les mathématiques et le calcul se trouve au CST. Il regroupe les meilleurs universitaires et les plus éminents chercheurs provenant de différents domaines. Ils collaborent et mènent des recherches classifiées de pointe en mathématiques et en informatique qui portent essentiellement sur la cryptographie.

En réunissant les esprits les plus brillants du CST et les meilleurs cerveaux universitaires, nous pouvons relever des défis cryptologiques de taille et découvrir des solutions novatrices.

L’Institut Tutte a déjà conclu des partenariats clés avec des établissements d’enseignement, comme l’Université Carleton et l’Université de Calgary.

Je mentionnais tout à l’heure les défis et les avantages que représente l’informatique quantique. Je suis persuadée que le travail accompli par les chercheurs de l’Institut Tutte sera essentiel dans l’avenir pour surmonter les défis quantiques.

Apprentissage et formation

Le programme d’apprentissage et de formation du CST est excellent. Le Centre de formation en sécurité des TI permet au CST d’offrir son expertise, ses connaissances et ses compétences dans une variété de formats afin d’aider les praticiens en TI, notamment du gouvernement, à sécuriser leurs systèmes.

Le CST publie également la plupart de ses conseils et de ses lignes directrices sur son site Web externe et il a récemment lancé son compte Twitter. Tout le monde peut donc en profiter.

Je suis particulièrement fière de l’un des produits du CST. Il s’agit des 10 meilleures mesures de sécurité des TI qui visent à protéger les réseaux et l’information du gouvernement du Canada.

Ce sont dix pratiques que peuvent adopter les ministères pour améliorer la protection de leurs réseaux, de leurs systèmes et de leur information.

Bien que ces pratiques soient destinées aux fonctionnaires, toute personne qui gère un réseau peut les adopter. En fait, pour être honnête, je crois que si tous les responsables de réseaux et de systèmes du Canada suivaient ces dix mesures, la situation serait à des années-lumière de la situation actuelle pour surmonter les défis de cybersécurité.

Les derniers partenariats dont je parlerai sont les partenariats internationaux, en particulier le partenariat avec la collectivité des cinq, qui perdure depuis la création du CST, il y a 70 ans.

Ce partenariat a toujours fourni au Canada et à ses alliés du renseignement de valeur visant à protéger les pays membres de la collectivité des cinq.

Ce renseignement comprend des indications et de l’information sur les cybermenaces qui nous guettent.

C’est donc grâce à ses partenariats, à ses employés, à ses connaissances et à ses solutions novatrices que le CST réussit à relever les défis de cybersécurité.

Ce qui m’amène à la dernière partie de ma présentation ce matin.

Quelles mesures pouvons-nous prendre pour faire face aux enjeux de cybersécurité actuels et à venir?

Examen de la cybersécurité

Je commencerai en parlant de l’examen de cybersécurité du gouvernement dont j’ai fait mention plus tôt.

L’examen se penchera sur de nombreux thèmes et sujets que j’ai abordés ce matin et qui sont à l’ordre du jour de l’événement.

On cherchera à découvrir comment le Canada peut demeurer un pays sûr, résilient et prospère économiquement dans un contexte où les cybermenaces évoluent rapidement.

Je vous encourage fortement à participer aux consultations en ligne. Il s’agit d’une partie essentielle de ce processus d’examen.

Le niveau d’expertise dans cette salle est incroyable. Les perspectives sont vastes et nombreuses, à l’instar des idées novatrices.

Rendez-vous sur le site Web lié aux consultations avant le 15 octobre pour nous faire part de vos idées et de votre point de vue.

Il s’agit de discussions portant sur les politiques qui valent la peine d’être menées et auxquelles il est important de participer. Il faut en parler, et il faut le faire dès maintenant.

Effectif + technologies + partenariats = innovation

Selon moi, trois composantes essentielles ont permis au CST d’ajouter de la valeur à son important rôle en cybersécurité.

Grâce à ces trois éléments, le Canada pourra relever efficacement les défis de cybersécurité. Les Canadiens pourront ainsi utiliser Internet en toute confiance et cette confiance contribuera à la prospérité économique de notre pays.

Il y a tout d’abord l’effectif. Les employés sont brillants et voient au-delà des défis actuels. Ils anticipent l’avenir et peuvent prévoir les défis auxquels nous serons confrontés un jour. Ils peuvent trouver les solutions dont nous avons besoin.

De nombreux cerveaux travaillent dans le domaine de la cybersécurité au Canada. Il faut trouver des façons de tirer parti de leur savoir et s’en servir pour régler des enjeux cybersécurité.

Ce sont d’ailleurs ces esprits brillants qui nous amènent au deuxième élément essentiel, c’est-à-dire les technologies de pointe.

Il peut s’agir de technologies de chiffrement de sécurité quantique ou de technologies avancées dont l’objectif est de protéger les systèmes contre des maliciels sophistiqués ou d’améliorer la conception de réseaux et de systèmes.

Les technologies sont essentielles si le Canada veut progresser et s’imposer dans le domaine de la cybersécurité.

Le troisième élément est les partenariats.

Personne ne peut se vanter d’avoir toutes les réponses. Ni le gouvernement. Ni l’industrie. Ni les universitaires.

Le travail d’équipe est essentiel dans le domaine de la cybersécurité.

Nous devons tous travailler main dans la main. Il faut échanger de l’information. Il faut faire part de nos idées. Il faut transmettre nos solutions.

Nous devons rechercher et créer des occasions de collaboration entre le gouvernement, l’industrie et les universités. Nous devons mener des recherches conjointes et collaborer pour veiller à la cybersécurité dans les années à venir.

Nous pouvons résumer ces trois éléments en un seul mot : innovation.

Dans les années à venir, c’est grâce à l’innovation qu’Internet sera sûr et que les Canadiens pourront l’utiliser en toute confiance.

Le CST vise l’excellence en cybersécurité. Dans le cadre de ses activités, ses mots d’ordre sont l’intégrité, la confiance et la fiabilité. Il mise sur son effectif, ses technologies et ses partenariats pour relever les défis que représente la protection du gouvernement et des Canadiens dans le cyberespace.

Merci.