Discours de Scott Jones, chef adjoint de la Sécurité des TI, Journée de la cybersécurité à la GTEC, 1er novembre 2016

Présentation

Bonjour et merci, Jamie (Jaime O’Hare de Telus), de votre aimable présentation.

Je suis honoré que vous m’ayez invité à venir vous parler ce matin dans le cadre de cette journée qui donne le coup d’envoi de la GTEC. Comme cette première journée est entièrement consacrée à la cybersécurité, je suis d’autant plus heureux d’être ici. Cette conférence est importante puisqu’elle réunit les secteurs public et privé en vue de discuter de technologie, de ses répercussions et des possibilités qu’elle offre à tous les Canadiens.

Comme la cybersécurité est désormais au centre de nos vies, ces conversations revêtent une importance encore plus grande. À titre de chef de la Sécurité des TI pour le principal organisme technique chargé de la cybersécurité du gouvernement, je serai le premier à vous dire que la cybersécurité est l’affaire de tout le monde.

Mon objectif, ce matin, est de vous aider à mieux comprendre ce qu’est le Centre de la sécurité des télécommunications, ce qu’il fait et la façon dont il collabore avec ses partenaires du gouvernement et, plus particulièrement, avec le secteur privé, pour aider à protéger l’information d’importance du Canada. J’ai d’ailleurs une annonce à vous faire concernant la cyberrecherche indispensable que nous menons au Canada.

Ce qu’est le CST

Au cours des dernières années, bien des choses ont été dites et écrites au sujet du Centre de la sécurité des télécommunications, ou le CST. Le message véhiculé ne s’est toutefois pas toujours traduit par une bonne compréhension de qui nous sommes et de ce que nous faisons.

Si vous demandez aux gens dans la rue de vous dire ce qu’est le CST, ils vous répondront probablement qu’il s’agit de « cet organisme de super agents secrets ». Pourtant, cette représentation n’est, à mon avis, ni juste ni exacte. En premier lieu, elle fait abstraction du travail capital que nous accomplissons sur le plan de la cybersécurité pour protéger l’information que les Canadiens confient au gouvernement et aux importantes entités du secteur privé.

En second lieu, à la lumière des trois dernières années, je doute qu’il soit juste de nous qualifier de « super secrets ».

Mais qu’est donc le CST, me demanderez-vous? Et bien, nous relevons du ministre de la Défense nationale et disposons d’un mandat à trois volets émis en vertu de la Loi sur la défense nationale.

Nous fournissons au gouvernement du renseignement étranger qui s’avère essentiel à la protection du Canada, des Canadiens et de nos alliés contre les menaces.

Nous proposons des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada. Ce sont là les activités que nous menons au CST.

Nous offrons aussi de l’assistance aux organismes fédéraux chargés de l’application de la loi et de la sécurité, dans l’exercice des fonctions que la loi leur confère.

Dans mon esprit, le rôle du CST va bien au-delà de son mandat. Nous sommes tout d’abord l’organisme de cryptologie du Canada; nous cassons des codes et en concevons depuis maintenant 70 ans.

Dans le cadre de mes fonctions, je suis appelé à diriger les opérations entourant la conception de codes ou, en d’autres mots, le chiffrement et la façon dont le chiffrement est déployé et utilisé.

Le chiffrement joue un rôle essentiel dans notre fonction de cyberprotection, qui consiste à protéger l’information du gouvernement du Canada et des Canadiens.

Et nous le faisons bien. Nous sommes le centre d’expertise technique pour toutes les questions relatives à la cybersécurité. Sur le plan de la protection, nous sommes l’autorité chargée de la sécurité des communications (COMSEC) au Canada. L’expertise et le soutien technique que nous offrons permettent d’assurer la sécurité des communications classifiées du gouvernement. Nous travaillons en étroite collaboration avec Services partagés Canada pour veiller à ce que la sécurité soit intégrée dès le départ aux courriels, aux centres de données et aux passerelles Internet du gouvernement du Canada.

Nous sommes aussi l’autorité canadienne pour ce qui a trait au programme international des Critères communs. À ce titre, nous établissons et certifions les normes de cybersécurité. Nous dirigeons également le Programme canadien de validation des modules cryptographiques en collaboration avec NIST et nous nous assurons que le chiffrement est mis en œuvre correctement dans les produits commerciaux. Lorsque le gouvernement du Canada se procure des produits TI, il sait que ceux-ci répondent aux normes et qu’ils sont aptes à protéger l’information que les Canadiens confient au gouvernement.

Le CST est, de plus, responsable de la défense des systèmes du gouvernement du Canada contre les menaces. Il propose, élabore et met en œuvre une vaste gamme de mesures sophistiquées et adaptées pour défendre les réseaux du gouvernement. Et il le fait de façon dynamique et en temps réel.

À l’échelle du gouvernement, nous protégeons chaque jour les 700 millions de connexions de 377 000 utilisateurs. Nous bloquons quotidiennement plus de 100 millions de tentatives d’accès malveillantes visant à cerner les vulnérabilités, ainsi qu’à pénétrer les réseaux du gouvernement du Canada ou à les compromettre. Je peux d’ailleurs affirmer que ce nombre n’est pas prêt de diminuer.

Comme dans plusieurs autres secteurs, la sécurité des systèmes gouvernementaux repose sur la robustesse de chacun de ses éléments. Le CST s’efforce donc d’inculquer au personnel du gouvernement la notion de cybersécurité.

En collaboration avec Services partagés Canada et le Secrétariat du Conseil du Trésor, nous informons, par l’entremise de l’Équipe d’intervention en cas d’incidents informatiques du gouvernement du Canada (EIII-GC), les ministères du gouvernement des menaces émergentes et actuelles, des mesures d’atténuation rigoureuses à prendre et des interventions appropriées lors d’attaques.

Nous avons mis en place les 10 meilleures mesures de sécurité des TI. Lorsqu’elles sont mises en œuvre simultanément, celles-ci réduisent considérablement le nombre et l’incidence des compromissions. Et soit dit en passant, l’application de ces mesures ne se limite pas au gouvernement. Vous les trouverez sur notre site Web avec de plus amples conseils, directives et alertes. Notre site regorge d’ailleurs d’informations sur de nombreux sujets, du renforcement de la sécurité à la sécurité des dispositifs mobiles.

Le CST propose également un excellent programme d’apprentissage et de formation. Le Centre de formation en sécurité des TI permet à l’organisme d’offrir son expertise, ses connaissances et ses compétences dans une variété de formats afin d’aider les praticiens en TI à sécuriser leurs systèmes. En moyenne, nous formons annuellement plus de 1 400 professionnels des TI du gouvernement.

Le SIGINT permet de faire toute la différence en matière de cybersécurité

Comme je l’ai mentionné précédemment, le CST est également un organisme qui recueille du renseignement électromagnétique étranger. Le mot-clé est bien entendu « étranger » et non « canadien ». Du point de vue de la cybersécurité, le SIGINT fait partie de l’avantage concurrentiel qu’apporte le CST. Le renseignement électromagnétique étranger permet d’informer le gouvernement des cybermenaces. Il peut nous aviser des intentions et des plans des auteurs de menaces étrangers et des méthodes qu’ils envisagent d’utiliser. Cette autre arme de notre arsenal nous aide à détecter et prévenir les cybermenaces, et à prendre les mesures nécessaires pour nous défendre.

Nos gens

Je ne saurais trop insister sur le fait que nos employés sont indispensables à notre succès. Notre organisme peut compter sur des gens fort intelligents et talentueux. Nous comptons dans nos rangs une masse critique d’ingénieurs, de mathématiciens, d’informaticiens, d’analystes, de techniciens et de linguistes, qui s’efforcent tous de défendre le Canada contre les cybermenaces. La défense de classe mondiale dont bénéficie le gouvernement du Canada est le résultat du renseignement électromagnétique que nous recueillons, de nos gens, de nos outils, de notre technologie et de nos capacités. Vous me pardonnerez, je l’espère, cet élan de fierté patriotique peu caractéristique, mais à ma connaissance, aucun autre gouvernement ne possède des défenses aussi sophistiquées que celles dont dispose le GC.

Notre technologie

Je mentionne nos technologies sans toutefois pouvoir fournir de détails au sujet de nos capacités. Je peux cependant révéler que le CST fait appel à des capacités qui n’existent nulle part ailleurs, y compris chez les fournisseurs commerciaux. Nos outils de détection et de blocage automatisés de pointe reposent sur des fonctionnalités d’apprentissage automatique avancées.

Qu’est-ce que cela signifie? Lorsque nos outils détectent une nouvelle signature ou un nouveau modèle de cybermenace, ils peuvent adapter leurs défenses de manière à se protéger, et ce, sans aucune intervention humaine.

Environnement de menace

Et le nombre de cybermenaces contre lesquelles il faut se défendre ne cesse d’augmenter.

Je vous ai déjà fait part des 100 millions de sondes et de tentatives actives qu’il nous faut bloquer chaque jour pour éviter que les réseaux du gouvernement ne soient compromis.

Lors d’anciens discours que j’ai faits dans le cadre de la GTEC, j’ai mentionné les types d’auteurs de menaces qui opèrent généralement dans le cyberespace : les auteurs de menaces étatiques, les criminels, les hacktivistes et les terroristes. Ils sont toujours présents, mais nous constatons, dans une certaine mesure, que leurs méthodes ont évolué. Certaines des plus grandes menaces ne sont pas nécessairement sophistiquées, mais le fruit d’outils peu coûteux, voire gratuits, qu’il est facile de se procurer. Pourquoi un auteur de menace développerait-il ses propres outils s’il peut en trouver gratuitement en ligne? L’aspect économique des cyberattaques est de plus en plus disproportionné. Les incidents entraînent des coûts faramineux pour les victimes, que ce soit en termes d’atténuation et de nettoyage, en plus d’avoir des répercussions importantes sur leur réputation et leurs opérations. Pour l’attaquant, la récompense est grande puisqu’un investissement même négligeable a le potentiel de rapporter gros.

Tirer parti de nos défenses pour protéger le Canada

L’une des approches préconisées par le CST pour gérer cette dichotomie est de modifier la formule économique en faisant en sorte qu’il soit plus difficile et frustrant pour les attaquants de mener à bien leurs activités.

Vous devriez maintenant avoir une meilleure idée de la menace qu’il nous faut prévenir. Mais comme je l’ai mentionné plus tôt, la cybersécurité est l’affaire de tout le monde. Cette responsabilité ne relève pas exclusivement du gouvernement. Nul besoin de chercher très loin pour dresser une liste des entreprises qui ont dû faire face aux conséquences d’un cyberincident. Home Depot, Sony et l’Agence mondiale antidopage en sont quelques exemples.

C’est pourquoi le travail du CST va bien au-delà du gouvernement fédéral. Nous travaillons également avec l’industrie pour protéger les infrastructures essentielles.

Et quelles sont ces infrastructures essentielles? Songez à toutes ces choses qu’il serait catastrophique de perdre en raison d’une cyberattaque. Je ne parle pas ici de votre ligue de football fictive, mais des institutions bancaires, des entreprises de télécommunications et des compagnies d’électricité.

Comme la protection de nos infrastructures essentielles est si importante pour notre pays et pour les Canadiens, le CST échange de l’information à grande échelle afin que les outils commerciaux puissent mettre en place des mesures de blocage sur leurs systèmes.

Partenariats

Nous travaillons en étroite collaboration avec Sécurité publique, le Centre canadien de réponse aux incidents cybernétiques, le conseil d’administration du Conseil canadien des affaires, l’organisme Échange canadien des menaces cybernétiques et le Conseil consultatif canadien pour la sécurité des télécommunications pour concevoir une capacité plus robuste, capable de résister aux menaces de plus en plus nombreuses et de défendre nos systèmes contre celles-ci.

Vision à long terme

Mais aussi rapide que soit l’échange d’information sur les indicateurs de la compromission, l’auteur de menace aura toujours une longueur d’avance. Il nous faut penser à long terme. Concevoir des produits qui sont sécurisés par défaut. Veiller à ce qu’un auteur de menace n’arrive pas à exploiter un système qui n’a pas été mis en œuvre comme il se doit. Ce problème se fera de plus en plus aigu au cours des prochaines années, alors qu’un nombre croissant de dispositifs bon marché se connecteront à ce que l’on appelle l’Internet des objets. Nous ne parlerons plus du besoin de sécuriser les serveurs, les postes de travail et les téléphones mobiles, mais plutôt de la dernière attaque par déni de service distribué lancée à partir de réfrigérateurs, d’ampoules et de thermostats connectés au Web. Tous ces gadgets que nous avons tous installés pour être « branchés ». En fait, des articles de journaux ont laissé entendre que des caméras Web vulnérables seraient à l’origine de la cyberattaque par DDoS dont a été victime Dyn. La convergence de nos réseaux ne pourra qu’accroître la gravité et les répercussions de ces incidents, puisque nos activités dépendront de plus en plus de l’infonuagique et que notre quotidien reposera de plus en plus sur notre connectivité.

Nous devons commencer à considérer la sécurité à long terme et l’intégrer, dès le départ, dans nos initiatives.

Domaine quantique

Alors, que nous réserve l’avenir? Le succès du Canada dans le monde de la cybersécurité dépendra en majeure partie des partenariats entre le gouvernement, le milieu universitaire et l’industrie. Tandis que nous explorons l’horizon pas si lointain de la cybersécurité, le développement et l’utilisation de l’informatique quantique constituent le plus grand impondérable. La protection des cybersystèmes et de l’information sera bientôt une affaire beaucoup plus corsée.

La capacité de traitement astronomique de l’informatique quantique nous offrira des possibilités inespérées. Il pourrait en résulter des percées incroyables dans les domaines de l’ingénierie, de la médecine et des sciences.

Cette nouvelle technologie rendra toutes les méthodes actuelles de chiffrement inefficaces et obsolètes. Pratiquement toutes les entreprises, tous les gouvernements et tous les organismes utilisent une quelconque forme de chiffrement. En outre, le chiffrement est au cœur de la protection des systèmes et des informations du gouvernement.

L’économie mondiale repose sur les nouvelles tendances globales en matière de communications, de sécurité, de détection et d’informatique. Comme les technologies existantes ont atteint leurs limites sur le plan de la performance, les technologies dotées de capacités quantiques viendront bouleverser les approches actuelles, puis les remplaceront.

Nous sommes, par conséquent, confrontés à un double défi. Il est capital que nous nous penchions collectivement sur la question des menaces que pourrait poser l’informatique quantique et réexaminions le chiffrement. Nous avons besoin de nouvelles méthodes de cryptographie quantique sans quoi les systèmes et les renseignements de toutes les entreprises, de tous les ministères, de tous les organismes et, possiblement, de toutes les personnes se trouvant au Canada pourraient devenir vulnérables. En tant que pays, il nous faut également tirer avantage des possibilités économiques que l’informatique quantique pourrait offrir à l’industrie canadienne.

La question n’est pas de savoir si l’informatique quantique deviendra une réalité, mais quand. Certains experts croient que l’informatique quantique pourrait se concrétiser au cours des dix prochaines années. Le compte à rebours est déjà commencé.

J’avoue que mes propos peuvent sembler empreints d’un pessimisme sans doute de circonstance en ce temps d’Halloween. Néanmoins, j’ai une importante nouvelle pour vous ce matin concernant la recherche quantique au Canada.

Le gouvernement du Canada s’est engagé à faciliter la mise en place d’un écosystème quantique canadien dynamique, qui repose sur une R et D de pointe, et dont l’exportation de la technologie quantique est assurée par des entreprises canadiennes de concurrence mondiale. Cette initiative canadienne a mené à l’élaboration d’une stratégie quantique nationale qui vise à maintenir et à exploiter l’avantage dont jouit le Canada dans le domaine.

Centre canadien de recherche sur la sécurité quantique

Dans la foulée de cet engagement, je vous annonce ce matin la mise en place du Centre canadien de recherche sur la sécurité quantique, un effort de collaboration auquel participent le CST, le Conseil national de recherches du Canada et d’autres ministères du gouvernement, lequel sera hébergé sur le campus du CNRC, sur le chemin Montréal à Ottawa. Le Centre canadien de recherche sur la sécurité quantique collaborera également avec certains établissements industriels et d’enseignement, selon le projet et le type de recherche à effectuer.

Le travail réalisé au centre aura pour principal objectif de permettre aux partenaires et aux clients d’avoir accès aux experts techniques et à l’infrastructure de recherche nécessaires à l’avancement des technologies quantiques en matière de sécurité et de défense tout en éliminant les risques afférents, et ce, sans pour autant exiger de considérables investissements de capitaux. Les chercheurs bénéficieront également d’une orientation technique sur la viabilité des futures technologies quantiques en matière de sécurité et de défense, telles que les capteurs de détection chimique, les capteurs périmétriques, l’imagerie hautement sensible, les réseaux quantiques, la distribution quantique de clés et les algorithmes à résistance quantique. Ce sont d’ailleurs ces technologies qui pourraient dicter ce que seront la sécurité, la défense et les communications de demain.

Il en résultera inévitablement une meilleure compréhension des menaces et des possibilités des technologies quantiques en matière de sécurité et de défense au Canada. Avec l’aide de leurs partenaires, les chercheurs œuvrant dans le domaine de la science quantique suivront les progrès des technologies de prochaine génération et mettront au point de nouvelles technologies quantiques en matière de sécurité et de défense.

De par sa position avantageuse, le Canada pourra exploiter la force de sa R et D en science quantique et de son infrastructure industrielle pour devenir un chef de file mondial de cette nouvelle industrie. Grâce à ses partenariats et à ses chercheurs émérites, le Canada est en mesure de développer et de proposer les technologies essentielles en matière de sécurité et de défense qui protégeront l’infrastructure numérique et les systèmes de communications dont dépend en grande partie notre sécurité. Travailler à l’informatique quantique n’aura jamais été aussi exaltant puisque ce domaine reposera essentiellement sur la recherche effectuée par le Canada, son potentiel intellectuel et ses technologies.

Argument final

J’aimerais, en conclusion, faire valoir notre présence à la GTEC. Vous trouverez le personnel du CST dans la salle d’exposition, au kiosque 307, tout au long de la conférence. Venez nous y visiter et rencontrer nos experts lors de nos séances de questions avec les spécialistes. Comme je l’ai mentionné un peu plus tôt, nous serons l’hôte d’une table ronde sur la stratégie de « sécurité quantique » pour le Canada, laquelle se déroulera demain. Jeudi, l’un de nos spécialistes discutera des services gouvernementaux et des registres de transactions (ou Blockchain), deux autres domaines de recherche que nous explorons.

J’espère vous avoir aidé à acquérir une meilleure compréhension du CST, des menaces auxquelles nous faisons face et de l’avenir que nous nous efforçons de préparer avec l’aide de nos partenaires.

Sans vouloir minimiser l’importance de cet aspect de notre mandat, j’espère aussi avoir réussi à vous faire comprendre que le CST est plus que l’organisme technique chargé de la cybersécurité qui veille à la protection des réseaux, des systèmes et de l’information du gouvernement. Grâce à ses technologies uniques, à son personnel hautement qualifié et à ses cybercapacités avancées, le CST dispose des outils nécessaires pour aider l’industrie canadienne à protéger ses propres réseaux.

La leçon qu’il est important de tirer de l’événement de ce matin est que la cybersécurité du Canada et des Canadiens est une responsabilité qui nous incombe à tous. Aucune entité ne peut la garantir à elle seule. Il faut pouvoir compter sur l’expertise et l’innovation de chacun.

Au bout du compte, tout ce qui importe, c’est de protéger le Canada, son information, ses infrastructures, son économie et sa sécurité.

Merci.