Recommandation 1 :
L'OSSNR recommande qu'AMC perfectionne ses capacités ou en élabore de nouvelles pour être en mesure d'évaluer en toute indépendance les risques pouvant découler des techniques employées par le CST en cours de COA ou de COD.
Réponse du CST et AMC à recommandation 1 :
Le CST et AMC ne sont pas d'accord avec cette recommandation.
Conformément avec le cadre de gouvernance CST- AMC, AMC évalue les cyberopérations du CST sur le plan des risques relatifs aux politiques étrangères et de la conformité avec les lois internationales. Le processus interne d'évaluation des risques du CST évalue les risques techniques des cyberopérations selon les techniques employées.
Tout comme le CST compte sur AMC pour lui offrir son expertise sur le plan de la politique étrangère et de lois internationales, AMC compte sur le CST pour lui offrir son expertise sur le plan des technologies et des techniques à l'avant-plan des développements.
L'évaluation juste de tous les risques liés à une cyberopération se fonde sur la poursuite d'un dialogue ouvert et honnête et sur la confiance entre AMC et le CST. C'est pourquoi le CST continuera de transmettre de l'information à AMC concernant les techniques, lorsque leur utilisation pourrait avoir des répercussions sur l'évaluation des risques sur le plan de la politique étrangère d'AMC.
Recommandation 2 :
L'OSSNR recommande que le ministère de la Justice soit pleinement consulté à toutes les étapes d'une COA ou d'une COD, particulièrement à celles qui sont en amont de l'exécution de l'opération.
Réponse du CST à recommandation 2 :
Le CST est d'accord avec cette recommandation en principe.
Le CST est d'avis que les avis et les conseils offerts par les représentantes et représentants du ministère de la Justice (JUS) au sein de la (DSJ) du CST sont intégraux à la réussite de la mission du CST. Le CST consulte la DSJ à toutes les étapes pertinentes d'une cyberopération. De manière générale, le CST consulte la DSJ par l'entremise du cadre de pouvoirs et de planification commun (CPPC) à une étape clé. Plus de consultations ont lieu lorsqu'une activité est nouvelle.
Les outils internes développés par la DSJ permettent de veiller à ce que les activités ne contreviennent pas aux interdictions énoncées dans la Loi sur le CST et aident les analystes à détecter les risques élevés qui nécessitent un examen juridique approfondi. De plus, l'équipe interne du CST responsable des politiques opérationnelles est consultée lors de toutes étapes clés.
Recommandation 3 :
L'OSSNR recommande que le CST renonce à la pratique donnant lieu à la présentation de demandes de COA et de COD génériques (c. à d. au ministre de la Défense nationale, et qu'il soumette plutôt des demandes ponctuelles.
Réponse du CST et AMC à recommandation 3 :
Le CST et AMC ne sont pas d'accord avec cette recommandation.
Au moment de soumettre une application afin d'obtenir une autorisation ministérielle (AM) liée à ce genre de COA ou COD, le CST et AMC veillent toujours à ce que les ministres de la Défense nationale et des Affaires étrangères aient toute l'information nécessaire pour prendre une décision éclairée quant à la nature raisonnable et proportionnelle des activités proposées pas le CST par rapport à un ensemble d'objectifs précis. À cet effet, les AM liées à ce genre de COA ou COD s'articulent autour de grands objectifs visant à contrer de nombreuses menaces clairement définies dans un contexte mondial. En ce sens, elles ne sont pas « génériques », mais leur portée est suffisamment large pour accorder au CST la souplesse d'intervenir contre un grand nombre de cibles, dans un contexte où l'identité des auteures et auteurs de menace ou le lieu et le contexte sont inconnus au moment de soumettre l'application.
Dans le cas de toute opération évaluée comme relevant de l'autorité de ces AM, le cadre de gouvernance actuel permet la gestion appropriée des risques de l'opération. Le CST fournit à AMC des plans de mission détaillés de chaque opération, afin de bien évaluer les risques sur le plan de la politique étrangère en lien avec les cyberopérations du CST.
À la suite de la recommandation 1 de l'examen de gouvernance (FCO 1), le CST et AMC ont augmenté la quantité d'information inscrite dans l'application 2021 pour cet AM. Le degré de détail demandé a augmenté davantage pour l'application 2022. De plus, le CST et AMC collaborent sur de nouvelles AM visant à garantir que les objectifs pertinents sur le plan de la politique étrangère concordent et que les opérations autorisées ont une portée suffisante. Si une activité ne correspond pas à la catégorie correspondant à ces AM, le CST soumettra une nouvelle application particulière à la situation.
Recommandation 4 :
L'OSSNR recommande que le CST prenne invariablement contact avec le SCRS, la GRC et tout autre ministère ou organisme concerné du gouvernement fédéral pour déterminer si ces ministères et organismes seraient raisonnablement en mesure d'atteindre l'objectif d'une cyberopération.
Réponse du CST à recommandation 4 :
Le CST est d'accord avec cette recommandation.
Le CST reconnaît l'importance de consulter tous les intervenants pertinents du gouvernement du Canada. Au cours de la planification d'une opération, le CST renforce et continuera de renforcer ses liens de collaboration avec ses partenaires, notamment en communiquant avec le SCRS, la GRC et tout autre ministère ou organisme fédéral dont le mandat pourrait coïncider avec une COA ou une COD prévue.
Recommandation 5 :
L'OSSNR recommande que les demandes présentées par le chef concernant les cyberopérations actives et défensives indiquent au ministre de la Défense nationale qu'une acquisition d'information au titre d'une autorisation dûment délivrée pour le renseignement étranger, la cybersécurité ou l'assurance de l'information pourrait avoir lieu en conséquence desdites cyberopérations.
Réponse du CST et AMC à recommandation 5 :
Le CST et AMC sont d'accord avec cette recommandation.
Les applications 2022-2023 d'AM liées aux COA et COD appliquent déjà cette recommandation.
Recommandation 6 :
L'OSSNR recommande que les documents préparés selon le cadre des cyberopérations du CST (le Cadre de pouvoirs et de planification commun) fournissent en toute clarté les liens avec toutes les missions de renseignement étranger (ou de cybersécurité) concernées qui pourraient se dérouler en même temps que les COA ou les COD.
Réponse du CST à recommandation 6 :
Le CST est d'accord avec cette recommandation.
Depuis la période faisant l'objet d'un examen, le CST a mis en œuvre ce changement dans son cadre pour les cyberopérations, en partie en raison des recommandations de l'OSSNR présentées dans l'examen de gouvernance (FCO 1). Selon le cadre actuel, les documents comprennent maintenant des liens vers les opérations en vertu des articles 16 ou 17 qui sont pertinentes aux cyberopérations réalisées en vertu des articles 18 ou 19.
Recommandation 7 :
L'OSSNR recommande que le CST continue de définir et de perfectionner les distinctions qu'il convient d'établir entre les activités menées au titre des divers volets de son mandat, particulièrement entre les activités des COA et des COD, mais aussi entre les activités de renseignement étranger et de cybersécurité.
Réponse du CST à recommandation 7 :
Le CST est d'accord avec cette recommandation en principe.
Le CST est d'accord avec le principe de comprendre les nuances de son mandat. La Loi sur le CST (articles 15 à 20) précise les cinq volets de son mandat. Les opérations sont planifiées selon la compréhension de la portée et des limites que le volet du mandat autorise. Le CST collabore étroitement avec la Direction des services juridiques (DSJ) et son équipe responsable des politiques opérationnelles afin de garantir que les opérations sont planifiées et effectuées en vertu des pouvoirs pertinents.
Dans le corps de son rapport, l'OSSNR reconnaît la clarté de la Loi et la capacité du CST d'expliquer les raisons qui sous-tendent l'autorisation d'une opération selon un volet précis de son mandat. Les politiques et les procédures du CST permettant de planifier et de mener des opérations se fondent sur les distinctions entre les volets du mandat. L'ensemble des politiques relatives à la mission du CST traite de chaque volet du mandat et présente des distinctions entre les COA et COD. Le cadre pour les cyberopérations propose des documents de planification qui établissent les raisons pour lesquelles les objectifs et la nature de l'opération prévue concordent avec les pouvoirs liés à une COA comparativement à une COD, sans compter les techniques utilisées. Enfin, le CST est en voie de lancer une formation actualisée sur les lois et les politiques à l'intention de son personnel opérationnel.