Comparution devant le Comité permanent de la procédure et des affaires de la Chambre (PROC), dirigeant associé, Centre canadien pour la cybersécurité - 31 mars 2023

Table des matières

• Détails de la comparution
  • Déclaration préliminaire
• Renseignement sur le comité
  • Document d’information sur le Comité permanent des comptes publics (PACP)
  • Intérêts des membres du Comité liés au Centre de la sécurité des télécommunications
• Notes d’information du CST
  • Rapport du Bureau du vérificateur général
  • Principaux points au sujet de la cybersécurité
  • Cybersécurité et cyberincidents récents
  • Ingérence étrangère et cybermenaces relatives au processus démocratique
  • Invasion de l’Ukraine par la Russie et cybermenaces russes visant le Canada
  • Examen et surveillance des activités du Centre de la sécurité des télécommunications
• Questions et réponses possibles
  • Questions récentes posées au Centre de la sécurité des télécommunications (CST) lors de comparutions devant divers comités (2022-2023)
  • Questions et réponses possibles
• Documents de référence
  • Rapport du Bureau du vérificateur général
  • Sommaire du rapport de la vérificatrice générale sur la cybersécurité des renseignements personnels dans le nuage

Détails de la comparution

Date : Jeudi 31 mars 2023

Lieu : Salle 225-A, édifice de l’Ouest

Heure : De 15 h 30 à 17 h 30

Comparution :

• Rajiv Gupta, dirigeant associé, Centre canadien pour la cybersécurité
• Catherine Luelo, dirigeante principale de l’information du Canada, Secrétariat du Conseil du Trésor
• Paul Thompson, sous-ministre, Ministère des Travaux publics et des Services gouvernementaux
• Catherine Poulin, sous-ministre adjointe, Direction générale de la surveillance ministérielle, Ministère des Travaux publics et des Services gouvernementaux
• Sony Perron, Président, Services partagés Canada
• Costas Theophilos, directeur général, Gestion des produits et des services infonuagiques, Services partagés Canada
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général
• Jean Goulet, directeur principal, Bureau du vérificateur général
• Gabriel Lombardi, directeur principal, Bureau du vérificateur général

Détails : Invités à comparaître pour discuter du Rapport 7, La cybersécurité des renseignements personnels dans le nuage, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.

Déclaration préliminaire

Introduction

• Hello/Bonjour, Monsieur le président, membres du Comité, merci de m’avoir invité à comparaître dans le cadre de l’étude relative au Rapport sur la cybersécurité des renseignements personnels dans le nuage, qui a été déposé au Parlement par le vérificateur général du Canada.
• Je m’appelle Rajiv Gupta et mes pronoms sont « il » et « lui ». Je suis le dirigeant associé du Centre canadien pour la cybersécurité, ou Centre pour la cybersécurité, au Centre de la sécurité des télécommunications.

Aperçu du Centre pour la cybersécurité

• Le Centre pour la cybersécurité est l’autorité technique en matière de cybersécurité au Canada. Il protège le pays en misant sur des capacités de cybersécurité avancées et constitue la seule source unifiée de soutien et d’avis spécialisés pour les questions opérationnelles en matière de cybersécurité.
• Je suis heureux d’avoir à mes côtés mes collègues du Secrétariat du Conseil du Trésor, de Services partagés Canada, et de Services publics et Approvisionnement Canada, car nous avons collaboré étroitement sur des questions de cybersécurité.
• Dans le cadre de son rôle opérationnel, le Centre pour la cybersécurité publie des alertes de cybersécurité et des évaluations de menace à l’échelle du GC afin que les systèmes d’information demeurent sécurisés et protégés et qu’ils puissent contrer les menaces les visant.
• Dans le cadre de son rôle éducatif, le Centre pour la cybersécurité s’efforce d’accroître les connaissances en matière de cybersécurité au gouvernement en offrant des services comme le Carrefour de l’apprentissage.
• Le Carrefour de l’apprentissage est situé dans le Centre pour la cybersécurité et offre de la formation visant à améliorer la cybersécurité du gouvernement du Canada et des organisations liées aux infrastructures essentielles.
• Durant l’exercice 2021-2022, le Carrefour de l’apprentissage a renouvelé sa collaboration avec l’École de la fonction publique du Canada, ou EFPC, afin d’offrir un programme de cybersécurité uniforme à l’ensemble des fonctionnaires fédéraux.
• Le personnel du Carrefour de l’apprentissage et celui de l’EFPC ont créé ensemble un cours en ligne afin d’offrir aux fonctionnaires ne travaillant pas dans un domaine technique des connaissances de base sur l’informatique en nuage. Il s’agit d’une priorité pour la fonction publique alors que l’infrastructure TI des ministères continue de migrer vers le nuage.

Nuage

• Les organismes du gouvernement du Canada tirent de plus en plus parti de l’informatique en nuage, qui a le potentiel d’offrir des services de TI souples, flexibles et rentables.
• Comme l’indique son rapport annuel de 2021-2022, le CST ne cesse d’ouvrir la voie en ce qui a trait à la migration gouvernementale vers le nuage.
• En effet, le CST a adopté très tôt des technologies infonuagiques et s’est également assuré d’être le premier à appliquer ses propres avis et conseils internes.
• Il a d’ailleurs été le premier organisme à mettre en œuvre d’une manière sécurisée des applications commerciales infonuagiques en installant des capteurs au niveau du nuage. L’organisme a aussi fait preuve de leadership en communiquant à d’autres ministères les leçons qu’il a apprises ainsi que des avis et des conseils pertinents.

Collaboration

• Comme je l’ai mentionné, le Centre pour la cybersécurité est l’entité opérationnelle qui est responsable de protéger le GC contre les cybermenaces, comme les rançongiciels et le cyberespionnage.
• Nous travaillons avec des partenaires fédéraux pour défendre les réseaux gouvernementaux et l’information sensible des institutions fédérales.
• Nous collaborons aussi étroitement avec nos partenaires pour publier des conseils sur la classification des renseignements personnels dans le nuage et sur la désignation de systèmes de TI comme étant des actifs de grande valeur, comme l’a d’ailleurs indiqué la DPI dans sa déclaration préliminaire.
• Bien que le risque zéro n’existe pas en ce qui a trait aux cybermenaces, nous veillons à la mise en place des mesures de protection les plus élevées.
• Le Centre pour la cybersécurité a recours à des capteurs autonomes qui détectent les cyberactivités malveillantes visant les réseaux, les systèmes et l’infrastructure infonuagique du gouvernement. Nous utilisons trois types de capteurs :
  • les capteurs au niveau du réseau, les capteurs au niveau du nuage et les capteurs au niveau de l’hôte.
• Ces capteurs permettent au Centre pour la cybersécurité de détecter les cybermenaces en temps réel. Grâce aux connaissances classifiées que nous détenons sur les comportements des auteurs de menace, nous pouvons assurer notre défense et bloquer ces menaces.
• Nous collaborons avec nos partenaires fédéraux pour que des mesures de protection adéquates soient mises en œuvre afin d’assurer la sécurité et la confidentialité de l’information qu’ils placent dans le nuage.
• L’environnement infonuagique ne cesse d’évoluer et nous continuons d’améliorer parallèlement nos outils pour veiller à la défense et à la sécurisation des systèmes gouvernementaux.

Rapport

• Je tiens à remercier le Bureau du vérificateur général du Canada pour le rapport qu’il a déposé, ainsi que les membres du Comité pour la possibilité de discuter ensemble de ce sujet important.
• Bien qu’aucune des recommandations formulées dans le rapport ne vise le CST en particulier, nous sommes heureux d’en tenir compte.
• Le CST et le Centre pour la cybersécurité prennent très au sérieux la sécurité de l’information, y compris des données gouvernementales hébergées dans le nuage. Par conséquent, nous continuerons de collaborer avec nos partenaires fédéraux afin de suivre ces recommandations.

Conclusion

• Membres du Comité, je peux vous assurer que le CST continuera de travailler avec ses partenaires afin de renforcer la cybersécurité au Canada tout en veillant à la mise en place des mesures nécessaires pour garantir la protection de la vie privée de la population canadienne.
• Merci de m’avoir donné l’occasion de contribuer à cette importante étude, et c’est avec plaisir que je répondrai maintenant à vos questions.

Renseignement sur le comité

Document d’information sur le Comité permanent des comptes publics (PACP)

44e législature, 1re session

Le Comité permanent des comptes publics est le comité de vérification permanent du Parlement. Dans le cadre de son mandat, le Comité doit effectuer ce qui suit :

• Passer en revue les Comptes publics du Canada et tous les rapports de la vérificatrice générale du Canada et produire des rapports connexes.
• Étudier toutes les questions relatives au mandat, à l’administration et au fonctionnement des ministères qui lui sont confiés et produire des rapports connexes. Dans le cas du Comité, il s’agit du Bureau du vérificateur général du Canada.
• Faire enquête sur toute autre question que la Chambre des communes peut lui renvoyer.
• Examiner le travail de la vérificatrice externe du gouvernement fédéral, la vérificatrice générale du Canada.
  • Lorsque le rapport de la vérificatrice générale est déposé à la Chambre des communes par le Président, il est renvoyé d’office au Comité permanent des comptes publics. Le Comité choisit les chapitres du rapport sur lesquels il souhaite se pencher et convoque la vérificatrice générale et de hauts fonctionnaires des organisations ayant fait l’objet de la vérification pour qu’ils viennent répondre aux conclusions de la vérificatrice générale.
• Étudier les états financiers consolidés du gouvernement fédéral (les Comptes publics du Canada) et examiner les failles de nature financière et comptable soulevées dans le rapport de la vérificatrice générale.
  • À l’issue d’une étude, le Comité peut présenter un rapport à la Chambre des communes qui comprend des recommandations au gouvernement en vue d’améliorer les méthodes et les contrôles administratifs et financiers des ministères et des organismes fédéraux.

Pas de comparution récente

Prochaines comparutions

Jeudi 30 mars 2023 : Rapport 7, La cybersécurité des renseignements personnels dans le nuage, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.

• Rajiv Gupta, dirigeant associé, Centre canadien pour la cybersécurité
• Catherine Luelo, dirigeante principale de l’information du Canada, Secrétariat du Conseil du Trésor
• Paul Thompson, sous-ministre, ministère des Travaux publics et des Services gouvernementaux
• Catherine Poulin, sous-ministre adjointe, Direction générale de la surveillance ministérielle, ministère des Travaux publics et des Services gouvernementaux
• Sony Perron, président, Services partagés Canada
• Costas Theophilos, directeur général, Gestion des produits et des services infonuagiques, Bureau du vérificateur général
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général
• Jean Goulet, directeur, Bureau du vérificateur général
• Gabriel Lombardi, directeur principal, Bureau du vérificateur général

Principales études

• Rapport 7, La cybersécurité des renseignements personnels dans le nuage, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.
• Rapport 6, La surveillance des eaux arctiques, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.
• McKinsey & Company

Réunions précédentes (session en cours)

Lundi 13 février 2023 : Rapport 6, La surveillance des eaux arctiques. Travaux du Comité. Les témoins comprenaient notamment :

• Annette Gibbons, sous-ministre, ministère des Pêches et des Océans
• Mario Pelletier, commissaire, Garde côtière canadienne, ministère des Pêches et des Océans
• Paul Thompson, sous-ministre, ministère des Travaux publics et des Services gouvernementaux
• Simon Page, sous-ministre adjoint, Approvisionnement maritime et de défense, ministère des Travaux publics et des Services gouvernementaux
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général
• Nicholas Swales, directeur principal, Bureau du vérificateur général
• Chantal Thibaudeau, directrice, Bureau du vérificateur général

Jeudi 9 février 2023 : Rapport 4, Les obstacles systémiques – Service correctionnel Canada, rapports 1 à 4 de la vérificatrice générale du Canada de 2022. Les témoins comprenaient notamment :

• Anne Kelly, commissaire, Service correctionnel Canada
• Alain Tousignant, sous-commissaire principal, Service correctionnel Canada
• Larry Motiuk, commissaire adjoint, Politiques, Service correctionnel Canada
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Carol McCalla, directrice principale, Bureau du vérificateur général
• Steven Mariani, directeur, Bureau du vérificateur général

Lundi 6 février 2023 : Rapport 9, Les vaccins contre la COVID-19, rapports 9 et 10 de la vérificatrice générale du Canada de 2022. Les témoins comprenaient notamment :

• Stephen Lucas, sous-ministre, ministère de la Santé
• Celia Lourenco, sous-ministre adjointe déléguée par intérim, Direction générale des produits de santé et des aliments, ministère de la Santé
• Supriya Sharma, conseillère médicale en chef et conseillère médicale principale, Direction générale des produits de santé des aliments, ministère de la Santé
• Arianne Reza, sous-ministre déléguée, ministère des Travaux publics et des Services gouvernementaux
• Michael Mills, sous-ministre adjoint, Direction générale de l’approvisionnement, ministère des Travaux publics et des Services gouvernementaux
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Susan Gomez, directrice principale, Bureau du vérificateur général
• Nadine Cormier, directrice, Bureau du vérificateur général
• Luc Gagnon, sous-ministre adjoint et dirigeant principal, Direction générale de la transformation numérique, Agence de la santé publique du Canada
• Dr Harpreet S. Kochhar, président, Agence de la santé publique du Canada
• Stephen Bent, vice-président, Groupe de travail sur la vaccination contre la COVID-19, Agence de la santé publique du Canada

Jeudi 2 février 2023 : Rapport 10, Les prestations spécifiques liées à la COVID-19, rapports 9 et 10 de la vérificatrice générale du Canada de 2022. Les témoins comprenaient notamment :

• Bob Hamilton, commissaire du revenu, Agence du revenu du Canada
• Marc Lemieux, sous-commissaire, Direction générale des recouvrements et de la vérification, Agence du revenu du Canada
• Gillian Pranke, sous-commissaire, Direction générale de cotisation, de prestation et de service, Agence du revenu du Canada
• Adrianna McGillivray, directrice générale, Direction générale des programmes d’observation, Agence du revenu du Canada
• Jean-François Tremblay, sous-ministre, ministère de l’Emploi et du Développement social
• Tammy Bélanger, sous-ministre adjointe principale, Direction générale des prestations et des services intégrés, ministère de l’Emploi et du Développement social
• Catherine Demers, sous-ministre adjointe déléguée, Direction générale des compétences et de l’emploi, ministère de l’Emploi et du Développement social
• Mary Crescenzi, sous-ministre adjointe, Direction générale des services d’intégrité, Service Canada, ministère de l’Emploi et du Développement social
• Cliff C. Groen, dirigeant principal des activités, Modernisation du versement des prestations, ministère de l’Emploi et du Développement social
• Nathalie Manseau, dirigeante principale des finances intérimaire et directrice générale, Services consultatifs en gestion financière, ministère de l’Emploi et du Développement social
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Mélanie Cabana, directrice principale, Bureau du vérificateur général
• Lucie Després, directrice, Bureau du vérificateur général

Lundi 30 janvier 2023 : Travaux du Comité. Rapport 2, La Stratégie pour un gouvernement vert, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022. Rapport 2, Le traitement des prestations d’invalidité pour les vétérans, rapports 1 à 4 de la vérificatrice générale du Canada de 2022. Les témoins comprenaient notamment :

• Examen des rapports provisoires

Jeudi 26 janvier 2023 : Rapport 10, Les prestations spécifiques liées à la COVID-19, rapports 9 et 10 de la vérificatrice générale du Canada de 2022.

• Bob Hamilton, commissaire du revenu, Agence du revenu du Canada
• Cathy Hawara, sous-commissaire, Direction générale des programmes d’observation, Agence du revenu du Canada
• Marc Lemieux, sous-commissaire, Direction générale des recouvrements et de la vérification, Agence du revenu du Canada
• Gillian Pranke, sous-commissaire, Direction générale de cotisation, de prestation et de service, Agence du revenu du Canada
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Mélanie Cabana, directrice principale, Bureau du vérificateur général
• Josée Surprenant, directrice, Bureau du vérificateur général

Mardi 13 décembre 2022 : Rapport 1, L’accès aux prestations pour les populations difficiles à joindre, rapports 1 à 4 de la vérificatrice générale du Canada de 2022.

• Examen des rapports provisoires

Mardi 6 décembre 2022 : Rapports de la vérificatrice générale du Canada – décembre 2022.

• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général

Vendredi 2 décembre 2022 : Rapport 3, Le potentiel de l’hydrogène pour réduire les émissions de gaz à effet de serre, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022.

• John Hannaford, sous-ministre, ministère des Ressources naturelles
• Sébastien Labelle, directeur général, Direction des carburants propres, ministère des Ressources naturelles
• Christine Hogan, sous-ministre, ministère de l’Environnement
• Douglas Nevison, sous-ministre adjoint, Direction générale des changements climatiques, ministère de l’Environnement
• Derek Hermanutz, directeur général, Direction de l’analyse économique, Direction générale de la politique stratégique, ministère de l’Environnement
• Martin Dompierre, vérificateur général adjoint, Bureau du vérificateur général
• Philippe Le Goff, directeur principal, Bureau du vérificateur général

Mardi 29 novembre 2022 : Rapport 5, L’itinérance chronique, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.

• Romy Bowers, présidente et première dirigeante, Société canadienne d’hypothèques et de logement
• Nadine Leblanc, première vice-présidente, Politiques, Société canadienne d’hypothèques et de logement
• Jean-François Tremblay, sous-ministre, ministère de l’Emploi et du Développement social
• Nisa Tummon, sous-ministre adjointe, Direction générale des Opérations des programmes, ministère de l’Emploi et du Développement social
• Kelly Gillis, sous-ministre, Bureau de l’infrastructure du Canada
• Janet Goulding, sous-ministre adjointe, Direction générale des politiques et des programmes destinés aux collectivités, Bureau de l’infrastructure du Canada
• Kris Johnson, directeur général, Direction des politiques en matière d’itinérance, Bureau de l’infrastructure du Canada
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Sean MacLennan, directeur, Bureau du vérificateur général

Vendredi 25 novembre 2022 : Rapport 8, La gestion des urgences dans les collectivités des Premières Nations – Services aux Autochtones Canada, rapports 5 à 8 de la vérificatrice générale du Canada de 2022.

• Gina Wilson, sous-ministre, ministère des Services aux Autochtones
• Valerie Gideon, sous-ministre déléguée, ministère des Services aux Autochtones
• Joanne Wilkinson, sous-ministre adjointe principale, Secteur des opérations régionales, ministère des Services aux Autochtones
• Kenza El Bied, directrice générale, Direction générale des opérations sectorielles, Secteur des opérations régionales, ministère des Services aux Autochtones
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Glenn Wheeler, directeur principal, Bureau du vérificateur général
• Doreen Deveen, directrice, Bureau du vérificateur général

Mardi 22 novembre 2022 : Comptes publics du Canada 2022.

• Michael J. Sabia, sous-ministre, ministère des Finances
• Evelyn Dancey, sous-ministre adjointe, Direction de la politique budgétaire, ministère des Finances
• Nicholas Leswick, sous-ministre délégué, ministère des Finances
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Etienne Matte, directeur principal, Bureau du vérificateur général
• Chantale Perreault, directrice principale, Bureau du vérificateur général
• Roch Huppé, contrôleur général du Canada, Secrétariat du Conseil du Trésor
• Monia Lahaie, contrôleure générale adjointe, Secteur de la gestion financière, Secrétariat du Conseil du Trésor
• Diane Peressini, directrice exécutive, Politique comptable et rapports du gouvernement, Secrétariat du Conseil du Trésor

Vendredi 18 novembre 2022 : Comptes publics du Canada 2022.

• Evelyn Dancey, sous-ministre adjointe, Direction de la politique budgétaire, ministère des Finances
• Nicholas Leswick, sous-ministre délégué, ministère des Finances
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Etienne Matte, directeur principal, Bureau du vérificateur général
• Chantale Perreault, directrice principale, Bureau du vérificateur général
• Roch Huppé, contrôleur général du Canada, Secrétariat du Conseil du Trésor
• Monia Lahaie, contrôleure générale adjointe, Secteur de la gestion financière, Secrétariat du Conseil du Trésor
• Diane Peressini, directrice exécutive, Politique comptable et rapports du gouvernement, Secrétariat du Conseil du Trésor

Mardi 15 novembre 2022 : Rapports 5 à 8 de la vérificatrice générale du Canada de 2022.

• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général
• Carol Bellringer, présidente-directrice générale, Fondation canadienne pour l’audit et la responsabilisation
• Lesley Burns, vice-présidente, Surveillance, Fondation canadienne pour l’audit et la responsabilisation
• Michèle Galipeau, vice-présidente du Conseil d’administration et vérificatrice générale de la Ville de Montréal, Fondation canadienne pour l’audit et la responsabilisation

Mardi 1er novembre 2022 : Séance d’information sur le Bureau du vérificateur général.

• Nicholas Leswick, sous-ministre délégué, ministère des Finances
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Andrew Hayes, sous-vérificateur général, Bureau du vérificateur général
• Stephen Diotte, directeur exécutif, Relations avec les employés et rémunération globale, Gestion de la rémunération stratégique, Bureau de la dirigeante principale des ressources humaines, Secrétariat du Conseil du Trésor

Vendredi 28 octobre 2022 : Rapport 2, La Stratégie pour un gouvernement vert, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022.

• Bill Matthews, sous-ministre, ministère de la Défense nationale
• Nancy Tremblay, sous-ministre adjointe déléguée, Matériels, ministère de la Défense nationale
• Saleem Sattar, directeur général, Environnement et gestion durable, ministère de la Défense nationale
• Michael Keenan, sous-ministre, ministère des Transports
• Ross Ezzeddin, directeur général, Programmes aériens, maritimes et environnementaux, ministère des Transports
• Jerry V. DeMarco, commissaire à l’environnement et au développement durable, Bureau du vérificateur général
• Milan Duvnjak, directeur principal, Bureau du vérificateur général
• Graham Flack, secrétaire du Conseil du Trésor du Canada, Secrétariat du Conseil du Trésor
• Malcolm Edwards, ingénieur senior, Centre pour un gouvernement vert, Secrétariat du Conseil du Trésor

Mardi 25 octobre 2022 : Rapport 1, L’accès aux prestations pour les populations difficiles à joindre, rapports 1 à 4 de la vérificatrice générale du Canada de 2022.

• Bob Hamilton, commissaire du revenu et premier dirigeant, Agence du revenu du Canada
• Maxime Guénette, sous-commissaire, Direction générale du service, de l’innovation et de l’intégration, Agence du revenu du Canada
• Gillian Pranke, sous-commissaire, Direction générale de cotisation, de prestation et de service, Agence du revenu du Canada
• Lori MacDonald, sous-ministre déléguée principale, Emploi et Développement social et chef de l’exploitation pour Service Canada, ministère de l’Emploi et du Développement social
• Tammy Bélanger, sous-ministre adjointe principale, Direction générale des prestations et des services intégrés, ministère de l’Emploi et du Développement social
• Atiq Rahman, sous-ministre adjoint, Direction générale de l’apprentissage, ministère de l’Emploi et du Développement social
• Hugues Vaillancourt, directeur général, Direction générale des politiques stratégiques et de service, ministère de l’Emploi et du Développement social
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Nicholas Swales, directeur principal, Bureau du vérificateur général
• Josée Bégin, directrice générale, Marché du travail, éducation et bien-être socioéconomique, Statistique Canada
• Andrew Heisz, directeur, Centre de la statistique du revenu et du bien-être socioéconomique, Statistique Canada

Vendredi 21 octobre 2022 : Rapport 2, Le traitement des prestations d’invalidité pour les vétérans, rapports 1 à 4 de la vérificatrice générale du Canada de 2022.

• Paul Ledwell, sous-ministre, ministère des Anciens Combattants
• Jonathan Adams, directeur général intérimaire, Finance, ministère des Anciens Combattants
• Trudie MacKinnon, directrice générale intérimaire, Direction générale des opérations centralisées, ministère des Anciens Combattants
• Karen Hogan, vérificatrice générale, Bureau du vérificateur général
• Nicholas Swales, directeur principal, Bureau du vérificateur général
• Nadine Huggins, dirigeante principale des ressources humaines, Gendarmerie royale du Canada

Mardi 18 octobre 2022 : Rapport 2, La Stratégie pour un gouvernement vert, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022.

• Bill Matthews, sous-ministre, ministère de la Défense nationale
• Nancy Tremblay, sous-ministre adjointe déléguée, Matériels, ministère de la Défense nationale
• Saleem Sattar, directeur général, Environnement et gestion durable, ministère de la Défense nationale
• Michael Keenan, sous-ministre, ministère des Transports
• Ross Ezzeddin, directeur général, Programmes aériens, maritimes et environnementaux, ministère des Transports
• Jerry V. DeMarco, commissaire à l’environnement et au développement durable, Bureau du vérificateur général
• Milan Duvnjak, directeur principal, Bureau du vérificateur général
• Graham Flack, secrétaire du Conseil du Trésor du Canada, Secrétariat du Conseil du Trésor
• Jane Keenan, directrice exécutive intérimaire, Centre pour un gouvernement vert, Secrétariat du Conseil du Trésor
• Malcolm Edwards, ingénieur senior, Centre pour un gouvernement vert, Secrétariat du Conseil du Trésor

Vendredi 7 octobre 2022 : Rapport 1, Une transition équitable vers une économie à faibles émissions de carbone, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022. Travaux du Comité.

• Examen du rapport provisoire
• Examen des réponses du gouvernement aux recommandations du Comité avant le 1er septembre 2022

Mardi 4 octobre 2022 : Rapport 1, Une transition équitable vers une économie à faibles émissions de carbone, rapports 1 à 5 du commissaire à l’environnement et au développement durable de 2022. Travaux du Comité.

• Examen du rapport provisoire

Intérêts liés au Centre de la sécurité des télécommunications (CST)

Président– John Williamson (PCC) - Nouveau-Brunswick-Sud-Ouest

Intérêts liés au CST

• M. Williamson a été membre du Comité spécial sur la relation entre le Canada et la République populaire de Chine et du Comité permanent de la défense nationale.
• « Qu’en est-il de la réussite canadienne qu’était Nortel Networks? En 2004, plus de 70 % du trafic Internet planétaire utilisait la technologie de fibre optique canadienne fabriquée par Nortel. On croit que l’armée chinoise a lancé des cyberattaques concentrées pendant 10 ans contre le siège social de Nortel au Canada dans le but de voler des milliers de documents confidentiels et d’autres secrets d’entreprise. Nortel ne pouvait tout simplement pas faire concurrence à Huawei, et elle a dû déclarer faillite. Pour citer Global News, “c’est un peu comme si une armée étrangère creusait un tunnel secret jusqu’à la chambre forte du Canada et en ressortait librement avec des lingots d’or”. Des pensions, des économies d’une vie et des technologies canadiennes ont-elles été volées? C’est une autre question pour ce comité. » (motion de l’opposition – Comité spécial sur la relation entre le Canada et la République populaire de Chine, 12 mai 2022)
• « Je ne suis pas certain de comprendre quelle est l’intervention en cas de cybermenace ou de cyberattaque. Mis à part la prévention, sur laquelle vous vous concentrez bien sûr, une fois que l’attaque survient, est-ce qu’il s’agit de redémarrer le système? Comment rétablissez-vous le système après un tel événement? » (Comité permanent de la défense nationale, 2014)

Vice-présidente– Jean Yip (PLC) - Scarborough—Agincourt

Intérêts liés au CST

• Mme Yip a été membre du Comité spécial sur la relation entre le Canada et la République populaire de Chine.
• « La prochaine question s’adresse aux représentants du Centre de la sécurité des télécommunications, ou CST. Le 24 mars, CBC News rapportait l’annonce faite par Facebook que des membres de la communauté ouïghoure du Canada étaient la cible d’une campagne de cyberespionnage. Facebook a réussi à remonter à la source de cette campagne, soit deux entreprises en Chine qui tentaient d’installer un logiciel malveillant sur des dispositifs à des fins de surveillance. Y a-t-il eu une hausse des cyberattaques rattachables à des entités chinoises depuis que la Chambre a voté pour qualifier de génocide les activités de la Chine au Xinjiang? » (Comité spécial sur la relation entre le Canada et la République populaire de Chine, avril 2021)
• « Quelles sont les mesures prises par IRCC pour veiller à ce que les systèmes d’information qu’il utilise pour traiter les demandes d’immigration ne soient pas exposés à un risque, notamment à des menaces internes et pour assurer la cybersécurité en général? Les systèmes sont-ils robustes? » (novembre 2020)

Vice-présidente– Nathalie Sinclair-Desgagné (BQ) - Terrebonne

Intérêts liés au CST

• • « Le Bloc québécois est en faveur du projet de loi C-288, puisqu’il permettra aux consommateurs de faire un choix plus éclairé sur les forfaits Internet. Les consommateurs doivent pouvoir consulter la vitesse de téléchargement réelle qu’ils obtiendront plutôt que la plus haute vitesse théorique. Comme la vitesse en période de pointe est plus faible, il est important que les consommateurs puissent obtenir de l’information juste sur le service qu’ils obtiendront à ces heures. En bref, le projet de loi est un pas dans la bonne direction, mais il n’est manifestement pas suffisant. Comme mon cher chef aime le rappeler, le Bloc québécois ne s’oppose jamais à la tarte aux pommes. Toutefois, comme je le sais si bien, une tarte aux pommes, ce n’est pas assez nutritif pour souper. Il faut plus. » [sur le projet de loi C-288, Loi modifiant la Loi sur les télécommunications (renseignements transparents et exacts sur les services à large bande)]

Blake Desjarlais (NPD) - Edmonton Griesbach

Intérêts liés au CST

• « Il y a notamment le défi de l’innovation, bien sûr, dont beaucoup de représentants de ministères ont souligné l’omniprésence aujourd’hui. Par conséquent, lorsque nous pensons ou essayons d’imaginer à quoi ressembleront les années 2025, 2030 ou 2050, je crains que notre système ne soit pas assez solide ou robuste pour reconnaître le rôle des Canadiens quant à la stabilité de ce plan. Je veux simplement que cela demeure très présent à notre esprit, surtout par rapport au ministère de la Défense nationale. » (étude du Comité permanent des comptes publics sur la Stratégie pour un gouvernement vert, 2022)

Valerie Bradford (PLC) - Kitchener South—Hespeler

Intérêts liés au CST

• « Le Canada dispose de tout un éventail d’applications militaires et fait face à des pressions pour intervenir sur de multiples fronts, y compris en Europe, en Indopacifique et dans le Nord. Le Canada peut-il contribuer de façon marquante à la sécurité dans toutes ces régions? Comment devrait-il équilibrer ses efforts? » (Comité permanent de la défense nationale, 24 novembre 2022)
• « De nombreux pays, dont le Canada, ont récemment annoncé des stratégies et des investissements importants dans les technologies émergentes comme l’intelligence artificielle, l’informatique quantique et la génomique. Que pouvons-nous faire pour donner aux institutions de pointe les moyens d’être concurrentielles dans ces domaines émergents? » (Comité permanent de la science et de la recherche, 8 février 2022)

Maninder Sidhu (PLC) - Brampton-Est

Intérêts liés au CST

• Served as a member on the Special Committee on Canada-China Relations
• « Monsieur le Président, la ministre des Affaires étrangères a pris des mesures en refusant un visa à un agent étranger d’un pays comme la Chine. Nous serons toujours là, très vigilants, pour défendre notre démocratie et protéger notre souveraineté. Nous continuons de défendre les valeurs canadiennes. » (mars 2023)
• « Monsieur le Président, nous suivons de très près le déroulement des événements en Chine. Nous restons en contact étroit avec notre ambassade et notre consulat. Nous croyons en la liberté d’expression dans notre pays et à l’étranger, y compris en Chine, et nous pensons que les citoyens doivent pouvoir manifester pacifiquement pour faire connaître leurs points de vue, sans craindre pour leur sécurité. Nous continuerons à suivre les événements de très près. » (novembre 2022)

Garnett Genuis (PCC) - Sherwood Park—Fort Saskatchewan

Intérêts liés au CST

• « Le problème de l’ingérence étrangère, qui fait partie du contexte des cybermenaces auxquelles nous sommes confrontés, n’est pas nouveau non plus. Encore une fois, nous avons demandé au gouvernement d’agir, mais nous n’avons vu aucune autre mesure de sa part... Nous sommes en retard lorsqu’il s’agit de défendre notre sécurité. Nous sommes en retard sur ce que nous aurions dû savoir bien plus tôt. Nous sommes en retard sur nos alliés. Nous avons été les derniers du Groupe des cinq à reconnaître les risques associés à Huawei. » (débats du 1er décembre 2022 sur le projet de loi C-288, Loi modifiant la Loi sur les télécommunications)
• « Nous sommes saisis aujourd’hui d’un projet de loi qui traite d’un domaine où nous devons nous engager et réagir au problème de l’ingérence soutenue par des États étrangers, à savoir la cybersécurité. Je soutiendrai ce projet de loi à ce stade pour le voir passer à l’étape du comité, principalement parce que nous avons manifestement besoin d’un nouveau projet de loi sur la cybersécurité. Nous avons manifestement besoin d’un nouveau cadre. L’étude du comité cernera certaines des lacunes importantes que nous constatons dans le projet de loi actuel, les améliorations à apporter et les nombreuses autres étapes nécessaires. » (débats du 1er décembre 2022 sur le projet de loi C-288, Loi modifiant la Loi sur les télécommunications)

Peter Fragiskatos (PLC) - London-Centre-Nord

Intérêts liés au CST

• M. Fragiskatos est membre du Comité spécial sur la relation entre le Canada et la République populaire de Chine.
• « Je veux vous poser une question générale sur trois choses précises, soit l’espionnage, l’ingérence étrangère et les cyberattaques. Dans quelle mesure le Canada travaille-t-il de concert avec d’autres pays — en particulier des puissances moyennes — pour contrer les effets de ces activités sur notre démocratie? Que pouvez-vous nous dire à ce sujet? » (Comité spécial sur la relation entre le Canada et la République populaire de Chine, 31 mai 2021)
• Au sujet des pouvoirs du CST en ce qui concerne les cyberopérations et le projet de loi C-59 : « Il y a quelques jours, l’Association des libertés civiles de la Colombie-Britannique nous a fait part d’un certain nombre de préoccupations. Dans un autre article rédigé depuis leur témoignage, des préoccupations ont été exprimées au sujet du projet de loi C-59 au titre des cyberopérations qui pourraient être menées par le Centre de la sécurité des télécommunications. Puisque vous avez beaucoup parlé aujourd’hui des aspects technologiques du terrorisme et de la façon dont il peut mettre en péril la sécurité du Canada, j’aimerais vous poser une question à ce sujet. Cette association est d’avis que le projet de loi C-59, en habilitant le CST à mener des cyberopérations contre des ressortissants étrangers, constitue un danger. Plus précisément, il normaliserait le piratage parrainé par l’État. Pouvez-vous nous reparler de l’importance des cyberopérations du point de vue de la sécurité? Dans quelle mesure ces opérations sont-elles cruciales? La nature même de la sécurité évolue. Les Canadiens méritent d’être protégés. Nous devons nous assurer que nos approches suivent le rythme d’évolution de la menace en cours. » (Comité permanent de la sécurité publique et nationale, 1er février 2018)
• « Je pense qu’il est très important de démystifier certaines des idées qui circulent sur ce qui constitue réellement une cybercapacité offensive. À l’évidence, il s’agit d’une nouvelle façon d’assurer la sécurité nationale, et je crois que certains mythes circulent à cet égard. »
• « Pourriez-vous nous dire si les cyberattaques prennent une forme différente, selon qu’elles sont lancées par un acteur étatique ou par une organisation terroriste? Je pense qu’on pourrait avoir l’impression que les organisations terroristes ne sont pas capables de mener des attaques très sophistiquées. La situation est en train de changer. Le fait est qu’ils peuvent monter des attaques complexes. Ce n’était pas le cas auparavant, mais nous le constatons maintenant. Pourriez-vous nous en parler? » (Comité permanent de la sécurité publique et nationale, 22 mars 2018)

Brenda Shanahan (PLC) - Châteauguay—Lacolle

Intérêts liés au CST

• « Dans ses commentaires, le Bureau du vérificateur général indique que cinq organisations ont été la cible d’une cyberattaque en 2021. De quelles organisations s’agit-il? Quels renseignements personnels ont été volés? Quelles mesures ont été mises en place pour prévenir les cyberattaques? » (Comité permanent des comptes publics, 3 mai 2022)
• « Je suis très contente de voir que nous pourrons travailler davantage dans ce dossier, en particulier en ce qui concerne les institutions démocratiques et électorales, car, je pense que les technologies, les pratiques, l’industrie de la collecte de données et en particulier de la collecte de données personnelles, forment une industrie à part entière. »
• « Je pense que la motion qui nous a été présentée est louable, dans la mesure où nous parlons de protéger les institutions démocratiques et électorales contre un nouveau phénomène. Il est nouveau, c’est-à-dire que nous en avons entendu parler en détail en 2016, mais même avant cela, au moment de divers référendums nationaux. Je ne sais si l’on s’est finalement entendu sur ce qui s’est passé avec le vote sur le Brexit, mais ce serait certainement une bonne étude de cas de ce à quoi pourrait ressembler ce genre de cyberingérence. J’apprécie que M. Dong ait inclus l’ingérence traditionnelle, parce que c’est comme s’il y avait la nouvelle école et l’ancienne école, mais au bout du compte, il y a de l’ingérence. » (Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, 16 novembre 2020)

Michael Kram (PCC) - Regina—Wascana

Intérêts liés au CST

• « Je crois vous avoir entendu dire également que le Canada aura “perfectionné”, faute d’un meilleur terme, la technologie de l’informatique quantique d’ici les 10 à 20 prochaines années. Quelle est votre meilleure prévision quant à la mesure dans laquelle la Russie et la Corée du Nord sont près de mettre au point cette technologie? » (Comité permanent de l’industrie et de la technologie, 29 mars 2022)
• « Vous avez également mentionné que, lorsque vous êtes revenus au Canada, vous avez dû travailler avec le SCRS et le CSTC pour accroître les mesures de sécurité visant à protéger les recherches sur l’informatique quantique. Pouvez-vous nous dire si ces mesures de sécurité sont adéquates, à votre avis? » (Comité permanent de l’industrie et de la technologie, 29 mars 2022)
• « Poursuivons sur ce point. Si vous étiez le conseiller spécial de la ministre de la Défense nationale et que votre objectif était de veiller à ce que l’armée de terre, la Marine et la force aérienne communiquent de façon sécurisée, que recommanderiez-vous? » (Comité permanent de l’industrie et de la technologie, 5 avril 2022)

Kelly McCauley (PCC) - Edmonton Ouest

Intérêts liés au CST

• « Quelle part des équipements et des logiciels de TI sont achetés par l’entremise de Services partagés Canada pour l’ensemble du gouvernement? Je veux seulement parler de la sécurité. Comment pouvons-nous nous assurer que les nouveaux équipements sont sûrs? Je sais que votre ministère prévoit de collaborer avec le Secrétariat du Conseil du Trésor, le Centre pour la cybersécurité et le Centre de la sécurité des télécommunications afin de maximiser la sécurité, mais comment assurons-nous la sécurité des 20 % qui ne font pas partie des achats par l’entremise de Services partagés? » (Comité permanent des opérations gouvernementales et des prévisions budgétaires, 25 novembre 2020)
• « Le Centre de la sécurité des télécommunications vient de publier son rapport d’évaluation des cybermenaces — je pense que c’était aujourd’hui —, qui met en lumière de nombreux problèmes relatifs aux joueurs détenus par des États étrangers, et qui cite la Chine et la Russie pour la première fois. Des renseignements auraient pu être obtenus grâce à cet équipement dans nos ambassades. Comment se fait-il que le Centre de la sécurité des télécommunications ne s’en préoccupe pas? » (Comité permanent des opérations gouvernementales et des prévisions budgétaires, 18 novembre 2020)
• « Ce qui nous ramène à Huawei. Nous sommes le seul pays du Groupe des cinq qui n’a pas banni Huawei de ses réseaux 5G ou qui n’a pas décidé de ne pas lui attribuer un rôle majeur. Quelles seront les répercussions de cette décision? Ne risque-t-on pas de se voir exclus du partage de renseignements vitaux si nous décidons d’aller de l’avant avec une entreprise comme Huawei? » (Comité permanent des opérations gouvernementales et des prévisions budgétaires, 25 mai 2020)

Notes d’information du Centre de la sécurité des télécommunications

Bureau du vérificateur général - Rapport 7 : La cybersécurité des renseignements personnels dans le nuage

Principaux points au sujet de la cybersécurité

Cybersécurité et cyberincidents récents

Ingérence étrangère et cybermenaces relatives au processus démocratique

Invasion de l’Ukraine par la Russie et cybermenaces russes visant le Canada

Examen et surveillance des activités du Centre de la sécurité des télécommunications

Questions et réponses possibles

Questions récentes posées au Centre de la sécurité des télécommunications (CST) lors de comparutions devant divers comités (2022-2023)

Ingérence étrangère (élections)

1. Quelle est l’influence des acteurs étrangers dans une élection? Parle-t-on de quelques votes ou de quelques sièges?
2. Quelles sont les limites à la divulgation d’information aux électeurs?
3. Les électeurs sont-ils informés ou sensibilisés aux questions liées à l’ingérence étrangère?
4. Quelles sont les menaces qui pèsent sur l’infrastructure de technologie de l’information (TI) d’Élections Canada?
5. Un exemple flagrant de cas d’ingérence étrangère est celui du député Kenny Chiu. Ce député avait-il été informé des risques d’ingérence étrangère? Et, si un certain seuil est atteint, conformément au protocole, le public doit être informé; cela n’a cependant pas été le cas. Pourquoi?
6. Qu’est-ce qui serait classé comme étant un parti politique (en lien avec les séances d’information classifiée données aux partis politiques)? Les bénévoles qui œuvrent durant les campagnes électorales seraient-ils invités à assister à ces séances d’information?
7. Les acteurs étatiques étrangers, qui représentent une autre menace que le financement de tiers provenant d’autres pays, peuvent-ils faire bouger l’aiguille des votes de 20 000 à 30 000 électeurs au cours d’une campagne électorale?
8. Des rapports indiquent que le Service canadien du renseignement de sécurité (SCRS) a informé votre gouvernement à l’automne dernier que le consulat de Chine à Toronto avait ciblé 11 candidats lors des élections de 2019. Le SCRS a également indiqué dans ses notes d’information transmises au comité que cette ingérence étrangère constitue une menace sérieuse pour la sécurité du Canada. Dans sa note d’information, le comité avisait le gouvernement que le « Canada peut appliquer une politique qui se fonde sur la transparence et la lumière » [Traduction], afin de souligner le fait que l’ingérence étrangère devrait être connue du public… Nous avons demandé qui sont les 11 candidats qui ont été ciblés lors des élections de 2019, nous avons demandé des séances d’information particulières auprès des services de renseignement, avant et pendant les élections et tout ce que nous obtenons, ce sont des séances d’information d’ordre général. Lors des dernières élections, notre équipe de campagne nationale a demandé les noms des candidats qui étaient ciblés et elle ne les a pas obtenus.
9. Le problème du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (Groupe de travail MSRE), c’est qu’il n’informe pas les acteurs politiques, les partis ou les candidats de l’existence d’une menace au cours d’une élection. Il est clair que le Groupe de travail MSRE surveillait l’ingérence étrangère ciblant le député Chiu et c’est ce qui ressort des documents qui ont été publiés des mois plus tard, mais le candidat Chiu n’avait aucune idée de ce qui se passait alors. À ce moment-là encore, il y a un manque de transparence pour informer les partis politiques, les candidats et les députés sur les menaces qui pèsent sur eux.
10. Pourriez-vous nommer quelques acteurs étrangers qui essaient de miner la confiance envers nos institutions démocratiques? Pouvez-vous citer quelques-unes des mesures qui ont été prises à cet égard?
11. Ceux qui font de l’ingérence diffusent-ils de la mésinformation et de la désinformation au sujet du système électoral ou au sujet des partis politiques?

Interférence étrangère (généralités)

12. En matière d’ingérence étrangère, quelles sont les différences entre la Russie et la Chine?
13. Vous arrive-t-il d’intervenir directement lorsqu’il est question de l’ingérence étrangère?

Médias sociaux

14. Quelle est la relation entre les MSRE et les plateformes de médias sociaux?
15. Quel rôle les entreprises de médias sociaux peuvent-elles jouer en tant qu’acteurs responsables avant et pendant les élections?

Mésinformation, désinformation et malinformation (MDM)

16. De nombreuses entreprises sociales ont signé ce que l’on appelle une déclaration sur l’intégrité électorale, qui les engage, entre autres, à s’attaquer à la MDM et nous savons que la transparence algorithmique pose problème. On en a souvent parlé et les algorithmes qu’ils utilisent proviennent principalement des États-Unis. Quelles sont, selon vous, les incidences d’une telle situation sur le plan de l’influence étrangère sur une élection?
17. Diriez-vous que la majorité de la MDM est diffusée au moyen des médias sociaux?
18. Quels sont les efforts faits pour saper nos institutions démocratiques au moyen de la désinformation? Dans quelles circonstances ces efforts sont-ils déployés? Que faites-vous avec cette information? Effectuez-vous une analyse des risques que pose cette information? En informez-vous les ministères? Planifiez-vous des activités pour dénoncer la mésinformation et les faux renseignements pour fournir des renseignements exacts?

Chine et Russie

19. Le parti communiste chinois a adopté en 2017 une loi sur le renseignement national qui oblige les organisations et les citoyens du monde entier à contribuer au travail de renseignement de l’État et du parti communiste. Êtes-vous d’accord avec cela?
20. Pourriez-vous décrire brièvement ce que font les autres pays? Est-ce similaire à ce que fait la Chine? Est-ce différent? Y a-t-il des différences entre les activités de ces quatre pays?
21. Combien de rapports d’incidents liés à la cybersécurité votre organisation a-t-elle reçus depuis que la Russie a envahi l’Ukraine?
    • Parmi ceux-ci, quelles sont les industries pour lesquelles vous recevez fréquemment ces rapports?
    • Quels sont les types d’endroits qui produisent des rapports sur ces incidents? Pouvez vous me donner des exemples?
    • Leur nombre est-il plus élevé qu’au cours des trois dernières années? Ou cela correspond-il à ce que vous avez observé?
22. En ce qui concerne les cybermenaces, comment évaluez-vous les capacités d’attaque de ces acteurs étatiques? La Chine, la Russie, la Corée du Nord et l’Iran?
23. Nous savons que la Russie est à l’origine d’un grand nombre de cybermenaces. Je voulais savoir comment elle peut nier avoir commis de tels actes. De qui se servent-ils pour atteindre les Canadiens et les influencer pour qu’ils pensent d’une certaine manière?
24. Pensez-vous que nos infrastructures essentielles et de défense sont exposées à un risque accru de cybermenaces de la part de la Russie ou de ses alliés, compte tenu de notre soutien à l’Ukraine, malgré l’absence d’hostilités directes?
25. En matière de connaissances sur la cybersécurité, dans quelle mesure les États nationaux tels que la Russie, et surtout la Chine, sont-ils plus sophistiqués?
26. Diriez-vous que la Chine est plus sophistiquée que notre capacité à l’arrêter pour le moment, ou pensez-vous que nous sommes au même niveau et que nous pouvons repousser ces attaques?

Cyberattaques

27. À votre connaissance, d’où provient la majorité des cyberattaques ou des tentatives de cyberattaques visant le Canada?
28. Quels sont les acteurs étatiques qui posent le plus de problèmes à la sécurité nationale canadienne, sur le front de la cybersécurité?
29. Quels sont les secteurs de l’économie canadienne les plus vulnérables aux cyberattaques?
30. Un article du Globe and Mail sur la cybersécurité indique que le gouvernement fédéral fait l’objet de trois à cinq milliards d’actions malveillantes par jour. Pouvez-vous nous en dire plus à ce sujet?
31. Selon vous, combien de cybermenaces proviennent du Canada ou de l’Amérique du Nord, plutôt que de la Chine ou de la Russie?
32. Comment se fait-il que tant d’institutions soient encore vulnérables aux cyberattaques? Que fait le CST pour alerter les entreprises?
33. Compte tenu de sa proximité avec les États-Unis, le Canada pourrait-il faire l’objet de cyberattaques visant en réalité les Américains?
34. Y a-t-il eu une augmentation du nombre d’acteurs voyous qui agissent ou non pour le compte d’acteurs étatiques?
35. Surveillez-vous les groupes qui sont au Canada, groupes qui pourraient être source de cybermenaces?

Ressources et capacités

36. Sommes-nous équipés pour faire face aux cyberattaques? Sommes-nous en train de rater le coche pour lutter contre ces groupes d’influence? Comment le Canada se compare-t-il par rapport aux autres pays? Que font-ils les autres pays?
37. En ce qui concerne l’augmentation du niveau d’ingérence étrangère – puisque vous avez parlé des outils dont vous disposez – y a-t-il de nouveaux outils ou d’autres pouvoirs dont l’un ou l’autre d’entre vous pense avoir besoin pour continuer à protéger les institutions démocratiques du Canada?
38. Quelles sont les lacunes en matière de politique législative et de financement auxquelles les parlementaires devraient accorder une attention particulière, afin de permettre à certaines organisations de faire face à cet environnement de menaces en constante évolution? À quoi les parlementaires, qu’ils soient membres du comité chargé de la sécurité publique ou membres de ce comité-ci, devraient-ils prêter l’oreille de sorte que vous puissiez avoir les outils dont vous avez besoin pour faire votre travail et protéger notre système démocratique?
39. De quoi le CST aurait-il besoin pour l’aider à remplir son mandat?
40. Compte tenu de l’augmentation des cybermenaces graves et dans le contexte des déficiences générales et des dépenses de défense de ce gouvernement, diriez-vous que les dépenses pour la cybersécurité sont insuffisantes, particulièrement si l’on tient compte de ce qui se passe dans le monde en ce moment?
41. Selon vous, en matière de cybersécurité en général, quelle est la performance du Canada?

Collaboration

42. Le CST, le SCRS, les Forces armées canadiennes (FAC) et d’autres ministères travaillent-ils suffisamment en collaboration?
43. Dans le cadre de l’opération UNIFIER des Forces armées canadiennes, le CST communique à l’Ukraine des renseignements concernant les menaces pour l’aider à se défendre contre les cyberattaques. Le CST ou les FAC participent-ils à des activités de cybersécurité dans le cadre de l’opération UNIFIER?
44. Quel est le degré de collaboration entre vos bureaux et les bureaux provinciaux et territoriaux à travers le pays?
45. Avons-nous notre propre pare-feu collaboratif avec les États-Unis et d’autres alliés de l’Organisation du Traité de l’Atlantique Nord (OTAN)?
46. Si une nouvelle menace surgit, informeriez-vous également nos alliés les plus proches? Ces derniers feraient-ils de même pour nous?

Panne de Rogers

47. 47. Qu’est-ce que cette journée a eu comme conséquences pour notre réseau de sécurité nationale? Les installations gouvernementales ont-elles également été touchées?

Questions et réponses possibles

Cybersécurité

1. Comment le CST contribue-t-il à la sécurité de l’infrastructure infonuagique du gouvernement du Canada?

• Comme indiqué dans notre rapport annuel 2021-2022, le CST continue de jouer un rôle de pionnier pour le gouvernement du Canada dans la migration vers le nuage.
• Nous avons été le premier ministère ou organisme à mettre en œuvre en toute sécurité plusieurs applications infonuagiques commerciales, en les sécurisant à l’aide de nos capteurs infonuagiques et en partageant les leçons apprises avec d’autres ministères et organismes.
• Au cours de la dernière année, le CST a continué à transférer des charges de travail, des services, des outils et des applications vers le nuage.
• Cette transition permet au CST de déployer plus rapidement de nouveaux outils de cyberdéfense et à nos employés de travailler et de collaborer plus facilement.
• Le Centre pour la cybersécurité utilise des capteurs autonomes pour détecter les cyberactivités malveillantes sur les réseaux, les systèmes et l’infrastructure infonuagique du gouvernement. Nous utilisons trois types de capteurs :
  • capteurs réseau, capteurs infonuagiques et capteurs au niveau de l’hôte.
• Ces capteurs recueillent en toute sécurité les données des systèmes et les transmettent au Centre pour la cybersécurité aux fins d’analyse. Certains partenaires du secteur des infrastructures essentielles, y compris les provinces et les territoires, nous envoient également des données techniques provenant des journaux de sécurité des systèmes. Cela nous aide à les protéger et à améliorer nos analyses pour le gouvernement du Canada et les autres partenaires.

2. Le CST espionne-t-il les renseignements des Canadiens contenus dans le nuage?

• Pour être clair, le CST n’est pas autorisé à cibler des Canadiens ou des personnes se trouvant au Canada dans le cadre de ses activités de collecte de renseignements.
• Le CST s’efforce d’être aussi transparent que possible afin que les Canadiens puissent être sûrs que nous respectons la loi et protégeons leur vie privée.
• Les outils défensifs du CST et du Centre pour la cybersécurité fonctionnent en permanence et des contrôles stricts en matière de protection de la vie privée sont en place.
• Nous travaillons avec nos partenaires fédéraux pour nous assurer que les mesures de protection appropriées ont été appliquées afin de garantir la sécurité et la confidentialité de leurs renseignements hébergés dans le nuage.

3. Pourquoi l’infrastructure infonuagique est-elle importante pour le gouvernement du Canada?

• Les organisations du gouvernement du Canada ont de plus en plus recours à l’infonuagique, qui permet de fournir des services de technologie de l’information (TI) souples, flexibles et rentables.

4. Quelles sont les mesures de protection de l’infonuagique du gouvernement du Canada et comment sont-elles validées?

• Les mesures de protection de l’infonuagique du gouvernement du Canada définissent les exigences minimales que les organisations doivent respecter en matière de sécurité et de protection de la vie privée dans leurs environnements infonuagiques. En mai 2021, les mesures de protection de l’infonuagique ont été officialisées en tant qu’exigence politique dans le cadre de la Directive sur les services et le numérique.
• Les ministères sont censés mettre en œuvre ces mesures de protection dans les 30 jours suivant l’obtention de l’accès à un compte infonuagique. Services partagés Canada valide la mise en place de ces contrôles, et un processus de mise en œuvre d’une approche automatisée de surveillance des environnements infonuagiques est en cours, afin de s’assurer que la sécurité est efficace et cohérente.

5. Comment pouvons-nous savoir que les renseignements personnels des Canadiens sont en sécurité dans l’environnement infonuagique du gouvernement du Canada?

• Le gouvernement du Canada dépend de fournisseurs pour de nombreux aspects de la sécurité et de la protection de la vie privée. Le document Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada, qui peut être consulté à l’adresse https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/approche-procedures-gestion-risques-securite-informatique-nuage.html, décrit les points clés de la gestion des risques liés à la sécurité lorsque des services sont hébergés dans un environnement infonuagique fourni par un fournisseur de services infonuagiques.
• L’un des moyens utilisés par le gouvernement pour gérer ce risque est d’exiger des fournisseurs de services infonuagiques qu’ils documentent clairement les contrôles de sécurité et les fonctionnalités mises en œuvre dans leurs services infonuagiques, afin que le gouvernement puisse s’assurer que l’environnement est sécurisé.
• Le document sur l’approche et les procédures en matière de sécurité du gouvernement souligne également l’obligation pour les ministères de procéder à une évaluation des facteurs relatifs à la vie privée, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée, lorsqu’ils prévoient de mettre en œuvre un service infonuagique comportant des renseignements personnels, ce qui contribuera à garantir que les préoccupations et les risques en matière de protection de la vie privée sont atténués comme il se doit.

6. La vérificatrice générale a indiqué qu’il y avait un risque pour les renseignements personnels dans le nuage. Les renseignements personnels des Canadiens ont-ils été compromis?

• Il est important de noter que la vérificatrice générale n’a pas conclu dans son rapport que les renseignements personnels des Canadiens avaient été compromis ou qu’il y avait eu des atteintes à la sécurité des renseignements personnels.

7. Comment le gouvernement du Canada s’assure-t-il que les fournisseurs de services infonuagiques répondent à ses exigences en matière de sécurité?

• Pour qu’un fournisseur de services infonuagiques puisse travailler avec le gouvernement du Canada, il doit d’abord accepter de répondre aux exigences de la politique de sécurité du gouvernement dans le cadre du processus de passation de marchés. Le contrat comprend des modalités qui lient le fournisseur à ses obligations de mettre en œuvre ces politiques de sécurité.
• Une fois qu’un fournisseur de services infonuagiques a obtenu un contrat, le ministère procède à une évaluation de la sécurité et à un processus d’autorisation pour s’assurer que les contrôles de sécurité appropriés sont en place. Ce processus est approuvé par le dirigeant principal de l’information ou le responsable de la sécurité du ministère.
• Le gouvernement du Canada élabore et maintient des contrôles de sécurité pour l’infonuagique, comme indiqué dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage. Ces renseignements précisent les contrôles de sécurité qui doivent être respectés par les fournisseurs de services infonuagiques et les ministères et organismes pour héberger les programmes et services du gouvernement du Canada dans le nuage et résument le contexte dans lequel ces contrôles de sécurité sont censés être mis en œuvre. Ces contrôles de sécurité sont basés sur des certifications de sécurité reconnues à l’échelle internationale.

8. Quel soutien le CST a-t-il apporté en réponse aux cybermenaces contre les élections ou les institutions démocratiques du Canada?

• Le gouvernement du Canada prend au sérieux sa responsabilité de protéger les Canadiens contre l’ingérence étrangère, quelle qu’en soit la source.
• Avant et pendant l’élection fédérale de 2021, le CST, le Service canadien du renseignement de sécurité, Affaires mondiales Canada et la Gendarmerie royale du Canada ont travaillé en étroite collaboration dans le cadre du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (Groupe de travail MSRE).
• Avant l’élection générale de 2019, le CST et le Centre pour la cybersécurité ont pris la décision d’offrir aux ministres du Cabinet un service d’assistance téléphonique pour les cyberincidents 24 heures sur 24 et 7 jours sur 7, offrant un soutien centralisé au cas où ils soupçonneraient que leurs communications ministérielles, parlementaires ou personnelles, leurs courriels ou leurs comptes de médias sociaux ont été compromis.
• Le service d’assistance téléphonique a fourni un service prioritaire 24 heures sur 24 et 7 jours sur 7 en cas de cyberincident et est toujours opérationnel aujourd’hui.
• En plus de ce service, le CST et son Centre pour la cybersécurité ont fourni des points de contact aux 16 partis politiques fédéraux enregistrés afin d’approfondir la discussion sur les défis en matière de cybersécurité liés au processus démocratique du Canada.
• Si un parti politique ou un candidat était confronté à une cyberactivité suspecte, nous avions également désigné un point de contact pour une intervention rapide, dont la coordination était assurée par le siège de chaque parti politique.
• Les partenaires du Groupe de travail MSRE continuent de travailler dans le cadre de leur mandat respectif afin de détecter et de contrer les possibles menaces étrangères contre le Canada et ses institutions démocratiques.
• Bien que les institutions et les processus démocratiques du Canada soient solides et résilients, le CST continue à œuvrer activement à leur protection.

9. Avons-nous besoin de plus de ressources?

• Nous savons que le paysage mondial des menaces en matière de cybersécurité évolue rapidement. Les cyberincidents, y compris les incidents graves touchant les infrastructures essentielles, sont de plus en plus nombreux et sophistiqués.
• Avec des ressources suffisantes, le CST et ses partenaires en matière de sécurité et de renseignement peuvent contribuer à réduire la menace, à renforcer nos cyberdéfenses en plaçant la barre plus haut, et à réagir à des incidents (moins nombreux) et à voir au rétablissement.
• Au printemps 2022, le gouvernement a annoncé dans son budget fédéral 852,7 millions de dollars sur 5 ans, et 218,3 millions de dollars de financement permanent à partir de 2027-2028, pour le CST.
  Alors que les menaces auxquelles nous sommes confrontés continuent d’évoluer, il est essentiel que nous disposions des ressources nécessaires pour protéger les Canadiens.

10. Quelles leçons ont été tirées en ce qui concerne les tactiques cybernétiques des acteurs de cybermenaces parrainés par des États, comme l’ingérence dans les élections, et la façon de les contrer?

• Les acteurs de menaces parrainés par des États, comme la Russie, disposent de capacités cybernétiques sophistiquées et ont démontré leur volonté de les utiliser.
• Les tendances relevées dans le dernier rapport Cybermenaces contre le processus démocratique du Canada du CST comprennent notamment les suivantes :
  • La grande majorité des activités de cybermenaces contre les processus démocratiques peuvent être attribuées à des acteurs de cybermenaces parrainés par des États, à savoir la Russie, la Chine et l’Iran.
  • Les acteurs de cybermenaces ciblent le plus souvent une combinaison d’électeurs, de partis politiques et d’infrastructures électorales.
  • Ce type d’activité comprenait des activités d’ingérence étrangère en ligne ainsi que des activités de cybermenaces plus traditionnelles, comme le vol de renseignements ou le déni d’accès à des sites Web importants.
  • La réponse mondiale à la COVID-19, comme l’intégration de nouvelles technologies dans le processus de vote, a très certainement augmenté la surface de cybermenace des processus démocratiques.
• Avant et pendant l’élection fédérale de 2021, le CST, le Service canadien du renseignement de sécurité, Affaires mondiales Canada et la Gendarmerie royale du Canada ont travaillé en étroite collaboration dans le cadre du Groupe de travail MSRE.
• Le gouvernement du Canada prend au sérieux sa responsabilité de protéger les Canadiens contre l’ingérence étrangère, quelle qu’en soit la source.

11. Le CST est-il préoccupé par la propagation de la mésinformation ou de la désinformation par des acteurs de menaces sur les applications de médias sociaux, en particulier à des fins d’ingérence dans le processus électoral canadien?

• Il est important de noter que l’omniprésence de faussetés sur les médias sociaux et dans l’écosystème national de l’information crée des possibilités que les acteurs de cybermenaces étrangers peuvent exploiter pour diffuser clandestinement de l’information.
• Certains gouvernements et partis politiques recourent à la désinformation ou manipulent l’écosystème de l’information en ligne pour influencer les électeurs.
• Les acteurs de menaces peuvent également propager de la désinformation après une élection pour miner la confiance dans les résultats ou tenter d’empêcher le gouvernement élu d’entrer en fonction.
• Plus récemment, le CST a diffusé des renseignements sur les médias sociaux dans le cadre des efforts déployés par le gouvernement du Canada pour informer les Canadiens sur la manière d’arrêter la propagation de la désinformation et de s’en protéger.
• Le CST continue de fournir au gouvernement du Canada l’information la plus exhaustive qui soit sur les priorités canadiennes en matière de renseignement, ce qui permet de renforcer directement la sécurité et la prospérité du Canada.
• Il est important que les Canadiens adoptent de bonnes pratiques en matière de cybersécurité, pratiques que le CST partage sur le site Web cyber.gc.ca.

Évaluation des cybermenaces nationales

12. Qu’est-ce que l’Évaluation des cybermenaces nationales? Quels sont les renseignements que comprend cette évaluation?

• Le Centre pour la cybersécurité publie tous les deux ans une évaluation décrivant les menaces les plus importantes auxquelles le Canada est confronté.
• Les principaux avis formulés dans l’évaluation reposent sur des renseignements provenant de plusieurs sources, y compris des renseignements classifiés et non classifiés. Les avis sont fondés sur les connaissances et l’expertise en matière de cybersécurité du Centre pour la cybersécurité et s’appuient sur le mandat du CST en matière de renseignement étranger, qui nous fournit des renseignements précieux sur les activités de cybermenaces dans le monde entier.

13. Quelles sont les principales préoccupations et observations formulées dans l’évaluation?

• À l’automne, le vendredi 28 octobre, le CST a publié son Évaluation des cybermenaces nationales 2023-2024, qui donne un aperçu des cinq principales tendances en matière de cybermenaces qui sont les plus évolutives et percutantes, et qui vont continuer de dominer les activités de cybermenaces jusqu’en 2024 :
  • Premièrement, les rançongiciels représentent une menace omniprésente pour les organisations canadiennes.
  • Deuxièmement, les activités de cybermenaces représentent un risque de plus en plus grand pour les infrastructures essentielles.
  • Troisièmement, les activités de cybermenaces parrainées par des États ont des répercussions sur les Canadiens.
  • Quatrièmement, les auteurs de cybermenaces tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels.
  • Enfin, les technologies perturbatrices entraînent de nouvelles possibilités et menaces.

Applications de médias sociaux basées à l’étranger

14. Le CST est-il conscient des préoccupations récentes en matière de protection de la vie privée en ce qui concerne les applications de médias sociaux?

• Nous sommes conscients des questions de cybersécurité et de protection de la vie privée que posent de nombreuses plateformes et applications de médias sociaux, et c’est pourquoi nous présentons des conseils et des orientations généraux aux Canadiens. Il est important que les Canadiens prennent le temps d’évaluer les risques liés à l’utilisation des plateformes et des applications de médias sociaux, en particulier celles basées à l’étranger.
• Nous recommandons vivement aux Canadiens de réfléchir aux renseignements qu’ils partagent en ligne, à la manière dont ils sont susceptibles d’être protégés, gérés et utilisés ou partagés par d’autres, ainsi qu’aux lois nationales qui s’appliqueront à leurs renseignements et à leurs activités sur une plateforme donnée.
• Les Canadiens disposent d’un grand nombre de renseignements en libre accès sur les différentes applications et plateformes de médias sociaux, qui en détaillent les avantages et les risques. Les Canadiens doivent faire preuve de prudence en ce qui concerne leur présence en ligne et effectuer leurs propres recherches avant de s’inscrire sur de nouvelles plateformes de médias sociaux.
• Toutefois, le Centre pour la cybersécurité du CST n’est pas un organisme de réglementation et, à ce titre, il n’approuve ni n’interdit les applications de médias sociaux.

15. Le CST a-t-il une opinion sur la récente accusation selon laquelle l’application TikTok divulguerait des données d’utilisateurs au gouvernement chinois?

• Le gouvernement prend au sérieux la sécurité et la confidentialité des données des Canadiens.
• Le gouvernement, y compris le Centre canadien pour la cybersécurité, continue à travailler en étroite collaboration avec des partenaires et des chefs de file du secteur de la technologie afin de garantir la protection des Canadiens et de nos systèmes.
• Le Canada reste une cible pour les cyberactivités malveillantes, notamment le cyberespionnage et l’ingérence étrangère. Les cyberacteurs mènent ces activités malveillantes pour promouvoir leurs intérêts politiques, économiques, militaires, sécuritaires et idéologiques, en manipulant les utilisateurs et en exploitant les failles de sécurité.
• Il est donc important que les Canadiens adoptent de bonnes pratiques en matière de cybersécurité, notamment en évaluant les risques liés à l’utilisation des plateformes et des applications de médias sociaux. Le Centre pour la cybersécurité a publié des conseils et des orientations mis à jour pour aider les Canadiens à se protéger en ligne et ainsi que sur l’utilisation de comptes personnels de médias sociaux au travail.
• Le gouvernement suit de près l’évolution de la situation aux États-Unis concernant l’application TikTok et n’hésitera pas à prendre des mesures pour protéger les intérêts canadiens.

16. Le gouvernement du Canada a-t-il interdit l’application TikTok parce qu’elle représente un risque pour la sécurité?

• La présidente du Conseil du Trésor a annoncé qu’à compter du 28 février, l’application TikTok sera supprimée des appareils fournis par le gouvernement et l’application ne pourra plus être téléchargée à l’avenir.
• Cette décision a été prise après que la dirigeante principale de l’information du Canada ait déterminé que l’application présentait un niveau de risque inacceptable pour la vie privée et la sécurité des Canadiens.
• La décision de supprimer et de bloquer l’application TikTok des appareils mobiles du gouvernement est prise à titre préventif, surtout compte tenu des préoccupations concernant le cadre juridique qui régit les renseignements recueillis à partir des appareils mobiles. Cette décision est conforme à l’approche de nos partenaires internationaux. Sur un appareil mobile, les méthodes de collecte de données de l’application TikTok donnent un accès considérable au contenu du téléphone.
• Comme l’a indiqué la présidente dans sa déclaration, bien que les risques liés à l’utilisation de cette application soient clairs, nous n’avons aucune raison de croire pour le moment que des renseignements du gouvernement ont été compromis.

Ingérence étrangère

17. Pouvez-vous confirmer qu’il y a eu ingérence étrangère dans le cadre de l’élection de 2019?

• Nous sommes conscients de la menace persistante d’ingérence étrangère.
• Tout au long de l’élection fédérale, le Groupe de travail MSRE a surveillé activement la situation pour y déceler des signes d’ingérence étrangère.
• Un groupe d’experts composé de hauts fonctionnaires non partisans a administré le Protocole public en cas d’incident électoral majeur, qui comprend un mandat durant la période de transition d’informer le public si un incident ou une série d’événements s’est produit et a menacé la capacité du Canada à organiser des élections libres et équitables.
• Le gouvernement du Canada n’a pas détecté d’ingérence étrangère menaçant la capacité du Canada à tenir des élections libres et équitables et justifiant une communication publique, comme l’a déterminé le groupe d’experts dans le cadre du Protocole public en cas d’incident électoral majeur.
• Dans la perspective de l’élection fédérale de 2021, le CST a mis en place des autorités chargées des cyberopérations défensives afin de protéger l’infrastructure électronique utilisée par Élections Canada.
• Si le processus électoral avait fait l’objet d’une cyberactivité malveillante, le CST aurait été prêt à agir immédiatement.

18. Pourquoi le CST et le Centre canadien pour la cybersécurité n’ont-ils pas aidé les partis politiques lors des élections de 2019 et 2021?

• Le gouvernement du Canada prend au sérieux sa responsabilité de protéger les Canadiens contre l’ingérence étrangère et la désinformation, quelle qu’en soit la source.
• Le Centre pour la cybersécurité du CST collabore avec la Chambre des communes pour protéger les appareils, les systèmes et les renseignements de la Chambre, y compris ceux des députés.
• Avant l’élection générale de 2019, le CST et le Centre pour la cybersécurité ont pris la décision d’offrir aux ministres du Cabinet un service d’assistance téléphonique pour les cyberincidents 24 heures sur 24 et 7 jours sur 7, offrant un soutien centralisé au cas où ils soupçonneraient que leurs communications ministérielles, parlementaires ou personnelles, leurs courriels ou leurs comptes de médias sociaux ont été compromis.
• Le service d’assistance téléphonique a fourni un service prioritaire 24 heures sur 24 et 7 jours sur 7 en cas de cyberincident et est toujours opérationnel aujourd’hui.
• Le Centre pour la cybersécurité a contacté tous les partis politiques fédéraux enregistrés pour connaître leurs principales préoccupations en matière de cybersécurité. En tenant compte de cette rétroaction, nous avons fourni des orientations et des séances d’information sur les menaces afin de donner suite à ces priorités.
• Le CST continuera à travailler activement pour assurer la protection de tous les Canadiens, y compris les députés.

19. Pourquoi les Canadiens n’ont-ils pas été informés de l’ingérence étrangère de la Chine? Le seuil n’a-t-il pas été atteint?

• Nous avons transmis cette information au groupe d’experts du Protocole public en cas d’incident électoral majeur, et c’est ce groupe qui détermine si les renseignements atteignent le seuil établi pour une communication publique.

20. Quelles sont les menaces contre nos élections du point de vue de l’ingérence étrangère? Qu’a fait le CST pour se prémunir contre ce risque?

• Le CST a fourni une évaluation non classifiée des cybermenaces contre le processus démocratique du Canada en 2017, 2019 et 2021. Dans chaque évaluation, l’ingérence étrangère est considérée comme une menace majeure pour les élections au Canada.
• Avant et pendant l’élection fédérale de 2021, le CST a collaboré avec des partenaires du Service canadien du renseignement de sécurité, d’Affaires mondiales Canada et de la Gendarmerie royale du Canada dans le cadre du Groupe de travail MSRE.
• Le rôle du CST dans le Groupe de travail MSRE était de surveiller les menaces et l’ingérence étrangères en ce qui concerne les processus électoraux au Canada.
• Si le CST avait connaissance d’une cybermenace, y compris à l’encontre d’un processus électoral provincial, il prenait les mesures qui s’imposent pour y faire face.

21. Le CST a reçu des fonds dans le budget 2022 pour la protection de la démocratie. Comment utilisez-vous ces fonds?

• Le gouvernement du Canada investit des ressources pour mieux comprendre les priorités stratégiques liées aux acteurs de menaces hostiles. Les acteurs de menaces hostiles influent sur des événements mondiaux contraires aux intérêts du Canada, ce qui fait d’eux des cibles prioritaires et durables pour le Canada en matière de renseignement.
• Les renseignements étrangers essentiels acquis par le CST, conformément aux priorités du gouvernement du Canada, permettent à ce dernier de promouvoir la prospérité économique du Canada, de protéger l’infrastructure numérique du pays contre les cyberactivités malveillantes et de défendre la sécurité nationale du Canada contre des menaces comme l’espionnage étranger.

22. Que peuvent faire les Canadiens pour se protéger en ligne contre les menaces d’ingérence étrangère?

• Voici quelques mesures que peuvent prendre les Canadiens pour se protéger en ligne :
  • Toujours suivre les pratiques exemplaires en matière de cybersécurité.
  • Opter pour des phrases de passe uniques et des mots de passe complexes ainsi que l’authentification à deux facteurs lorsqu’elle est offerte.
  • Se méfier des courriels non sollicités ou inhabituels et ne jamais cliquer sur les liens qu’ils peuvent contenir.
  • Utiliser tous les paramètres de sécurité possibles dans chacun des comptes de médias sociaux.
  • Supprimer les applications inutilisées ou désuètes et mettre à jour celles qui sont utilisées régulièrement pour s’assurer que les mesures de sécurité les plus récentes sont en place.
  • Consulter le site www.cyber.gc.ca pour plus de renseignements sur les pratiques exemplaires en matière de cybersécurité.
  • Si vous pensez être témoin d’une activité douteuse en ligne, vous pouvez signaler toute violation présumée au centre de sécurité de la plateforme de médias sociaux en cause.

23. Avez-vous connaissance d’activités de cybermenaces étrangères visant les institutions ou les processus démocratiques canadiens?

• Dans son dernier rapport Cybermenaces contre le processus démocratique du Canada, le CST a estimé que la grande majorité des activités de cybermenaces contre les processus démocratiques à l’échelle mondiale peuvent être attribuées à des acteurs de cybermenaces parrainés par des États, à savoir la Russie, la Chine et l’Iran.
• Par exemple, des acteurs parrainés par des États ont fait la promotion de contenus et de messages liés à QAnon dans le but de cibler les électeurs américains.
• Ces rapports ont pour but d’accroître la sensibilisation et d’attirer davantage l’attention sur les activités de cybermenaces parrainées par des États connues, y compris les tactiques, les techniques et les procédures utilisées pour cibler les processus démocratiques du Canada.

24. Des acteurs parrainés par la Chine ou la Russie tentent-ils de perturber les institutions ou les processus démocratiques canadiens?

• Le CST a estimé que la Chine et la Russie, ainsi que l’Iran, sont responsables de la majorité des activités de cybermenaces contre les processus démocratiques à l’échelle mondiale.
• Depuis 2015, plus de 90 % des activités de cybermenaces contre les processus démocratiques observées attribuables à la Russie, à la Chine et à l’Iran visaient des États et des régions d’importance stratégique pour ces pays.
• Les acteurs parrainés par des États comme ceux-ci ont tiré parti de groupes et de mouvements nationaux dans d’autres pays et ont utilisé les messages et la portée de ces groupes nationaux pour mieux influencer les électeurs.
• L’adoption de pratiques exemplaires en matière de cybersécurité contribue grandement à réduire les risques d’exploitation par des acteurs de cybermenaces.

25. L’Évaluation des cybermenaces nationales désigne les activités parrainées par la Chine et la Russie, ainsi que par quelques autres pays, en particulier. Que fait le CST pour protéger les réseaux du gouvernement du Canada contre ces menaces?

• Le CST est la principale voix et ressource centralisée pour les hauts responsables du gouvernement en ce qui concerne les questions opérationnelles en matière de cybersécurité, y compris la gestion des incidents, la connaissance de la situation et les avis et conseils techniques.
• Le CST défend les cybersystèmes du gouvernement du Canada et réagit aux menaces et incidents importants en matière de cybersécurité afin de réduire et d’atténuer les dommages causés au gouvernement fédéral.
• Le CST est une ressource centrale pour les ministères du gouvernement du Canada, à l’appui de leurs rôles dans leurs secteurs.

26. Que pouvons-nous faire, en tant que députés, pour nous protéger en ligne?

• Créez des mots de passe forts et utilisez la vérification en deux étapes.
• Utilisez des réseaux privés virtuels (RPV).
• Médias sociaux : Passez en revue les paramètres de confidentialité de vos applications. Recherchez les fonctions de sécurité de l’application, comme le chiffrement et la vérification en deux étapes.
• Stockage et sauvegarde sécurisés des données : Chiffrement des données. Sauvegardez vos données et sachez comment les récupérer (p. ex. en cas de rançongiciel).
• Appliquez les mises à jour : Appliquez les mises à jour à vos appareils, systèmes d’exploitation et applications dès qu’elles sont disponibles. Cela inclut les téléphones mobiles. Utilisez un logiciel de sécurité et maintenez-le à jour.

Invasion de l’Ukraine par la Russie et cybermenaces

27. Le CST a-t-il constaté une augmentation des cybermenaces contre les institutions ou les processus démocratiques du Canada depuis l’invasion de l’Ukraine par la Russie?

• Des volumes importants de cyberactivité ont été observés avant et pendant la guerre russe.
• Les cybermenaces sont constantes et omniprésentes au Canada.
• Le Canada est l’un des pays les plus ciblés au monde et les organisations canadiennes restent des cibles attrayantes pour les cybercriminels et les acteurs de cybermenaces parrainés par des États.
• Nos organismes de sécurité et de renseignement ont coordonné les efforts intégrés du gouvernement en sensibilisant, en surveillant et en signalant les menaces, et en fournissant des conseils pour protéger notre démocratie.
• Bien que les institutions et les processus démocratiques du Canada soient solides et résilients, le CST continue à œuvrer activement à leur protection.

28. L’invasion de l’Ukraine par la Russie et la présence déstabilisatrice de la Russie dans le cyberespace ont mis en évidence la nécessité de renforcer notre cyberdéfense. Pourriez-vous nous en dire un peu plus sur le travail réalisé par le CST pour protéger les institutions et les processus démocratiques du Canada?

• Le gouvernement du Canada prend au sérieux sa responsabilité de protéger les Canadiens contre l’ingérence étrangère, quelle qu’en soit la source.
• Avant et pendant l’élection fédérale de 2021, le CST, le Service canadien du renseignement de sécurité, Affaires mondiales Canada et la Gendarmerie royale du Canada ont travaillé en étroite collaboration dans le cadre du Groupe de travail MSRE.
• Le Centre pour la cybersécurité du CST a également collaboré avec Élections Canada pour sécuriser les systèmes et infrastructures électoraux.
• Nos organismes de sécurité et de renseignement ont coordonné les efforts intégrés du gouvernement en sensibilisant, en surveillant et en signalant les menaces, et en fournissant des conseils pour protéger notre démocratie.
• Les partenaires du Groupe de travail MSRE continuent de travailler dans le cadre de leur mandat respectif afin de détecter et de contrer les possibles menaces étrangères contre le Canada et ses institutions démocratiques.
• Bien que les institutions et les processus démocratiques du Canada soient solides et résilients, le CST continue à œuvrer activement à leur protection.

29. Quelles leçons ont été tirées en ce qui concerne les tactiques cybernétiques des acteurs de cybermenaces parrainés par des États, comme l’ingérence dans les élections, et la façon de les contrer?

• Les acteurs de menaces parrainés par des États, comme la Russie, disposent de capacités cybernétiques sophistiquées et ont démontré leur volonté de les utiliser.
• Les tendances relevées dans le dernier rapport Cybermenaces contre le processus démocratique du Canada du CST comprennent notamment les suivantes :
• La grande majorité des activités de cybermenaces contre les processus démocratiques peuvent être attribuées à des acteurs de cybermenaces parrainés par des États, à savoir la Russie, la Chine et l’Iran.
• Les acteurs de cybermenaces ciblent le plus souvent une combinaison d’électeurs, de partis politiques et d’infrastructures électorales.
• Ce type d’activité comprenait des activités d’ingérence étrangère en ligne ainsi que des activités de cybermenaces plus traditionnelles, comme le vol de renseignements ou le déni d’accès à des sites Web importants.
• La réponse mondiale à la COVID-19, comme l’intégration de nouvelles technologies dans le processus de vote, a très certainement augmenté la surface de cybermenace des processus démocratiques.
• Avant et pendant l’élection fédérale de 2021, le CST, le Service canadien du renseignement de sécurité, Affaires mondiales Canada et la Gendarmerie royale du Canada ont travaillé en étroite collaboration dans le cadre du Groupe de travail MSRE.
• Le gouvernement du Canada prend au sérieux sa responsabilité de protéger les Canadiens contre l’ingérence étrangère, quelle qu’en soit la source.

Si l’on insiste sur le ballon de surveillance à haute altitude :

• Cette question va au-delà de mon champ d’expertise et je dois donc vous renvoyer aux commentaires formulés par mon collègue lors de la séance du Comité permanent de la défense nationale de la Chambre des communes en début de semaine.
• Le CST a pour mission de fournir au gouvernement du Canada des renseignements sur les menaces étrangères, y compris les activités d’acteurs étatiques et non étatiques.
• Les services de renseignement du Canada, dont le CST, sont en contact permanent avec leurs partenaires américains et s’efforcent de protéger le Canada contre les menaces étrangères, de protéger nos frontières et de protéger nos intérêts collectifs.
• Comme indiqué mardi au Comité permanent de la défense nationale, le CST a participé à la surveillance d’un ballon de surveillance à haute altitude étranger exploité par la République populaire de Chine.
• Les responsables canadiens de la sécurité nationale ont travaillé et restent en contact étroit avec leurs homologues américains sur cette question.
• Bien que nous comprenions l’intérêt que suscite cette question, nous ne sommes pas en mesure de faire d’autres commentaires sur les activités opérationnelles du CST.
• Le CST continue de surveiller les menaces étrangères et travaille en étroite collaboration avec ses collègues des Forces armées canadiennes pour garantir la sécurité du Canada et des Canadiens.

Infocapsule

Messages clés du CST

• En tant qu’organisme national de cybersécurité et du renseignement électromagnétique du Canada, le Centre de la sécurité des télécommunications (CST) dispose de capacités techniques et opérationnelles uniques.
• La Loi sur le Centre de la sécurité des télécommunications (la Loi sur le CST) énonce les cinq volets de notre mandat : la cybersécurité et l’assurance de l’information; le renseignement étranger; les cyberopérations défensives; les cyberopérations actives; et l’assistance technique et opérationnelle. Nous utilisons notre expertise technique dans le cadre des cinq volets de notre mandat afin d’assurer la sécurité des Canadiens.
• Le programme du renseignement électromagnétique étranger du CST présente aux hauts responsables du Canada des indications à propos des activités, des motivations, des capacités et des intentions d’adversaires étrangers, ainsi que sur l’état de préparation de la communauté internationale et les réactions des pays étrangers à divers événements mondiaux.
• Les rapports sur le renseignement du CST identifient également les activités des États hostiles, et la Loi sur le CST nous autorise à prêter assistance au ministère de la Défense nationale et aux Forces armées canadiennes.
• Nous soutenons les opérations militaires canadiennes et protégeons les forces déployées à l’étranger grâce à des techniques cybernétiques avancées. Par exemple, le CST pourrait protéger les forces canadiennes en perturbant la capacité de communiquer d’un adversaire ou en fournissant des renseignements sur une menace imminente.
• La Loi sur le CST confère au CST l’autorité légale de mener des cyberopérations pour perturber les menaces étrangères contre le Canada. Il s’agit notamment de cyberopérations actives afin de réduire, d’interrompre, d’influencer ou de contrecarrer, selon le cas, les capacités, les intentions ou les activités de tout étranger et État ou organisme étranger.
• S’il existe des motifs raisonnables de croire qu’un État ou un acteur étranger constitue une menace pour la sécurité du Canada ou des forces militaires canadiennes, nous sommes prêts à prendre les mesures appropriées pour faire face à cette menace.
• Nous continuons à fournir au gouvernement du Canada l’information la plus exhaustive qui soit sur les priorités canadiennes en matière de renseignement, ce qui permet de renforcer directement la sécurité et la prospérité du Canada.

Soutien du CST aux Forces armées canadiennes et à l’opération UNIFIER

• En tant qu’organisme national de cybersécurité et du renseignement électromagnétique du Canada, le CST dispose de capacités techniques et opérationnelles uniques. La Loi sur le CST comprend des dispositions qui nous permettent de fournir une assistance technique et opérationnelle au ministère de la Défense nationale (MDN) et aux Forces armées canadiennes (FAC).
• Le CST est autorisé à fournir une assistance aux FAC à l’appui des missions militaires autorisées par le gouvernement, comme l’opération UNIFIER. Ce soutien comprend l’échange de renseignements et la cybersécurité.
• Le CST a partagé de précieux renseignements sur les cybermenaces avec des partenaires clés en Ukraine. Nous continuons également de collaborer avec les FAC pour soutenir l’Ukraine, notamment en ce qui concerne l’échange de renseignements, la cybersécurité et les cyberopérations.
• Le CST, le MDN et Services partagés Canada ont collaboré avec Télésat, une société canadienne de communications par satellite, pour parvenir à un accord sur la prestation de services satellitaires aux principaux partenaires ukrainiens, gouvernementaux et non gouvernementaux, y compris dans le secteur des infrastructures essentielles.
• Télésat fournit un service satellitaire sécurisé à l’Ukraine pour mener des affaires avec des partenaires gouvernementaux et non gouvernementaux européens et nord-américains. Le système satellitaire sécurisé permet de faciliter la connectivité des télécommunications vers l’Europe, l’Afrique, les Amériques et la région de l’océan Atlantique.
• Ce soutien accru aidera l’Ukraine à renforcer sa sécurité et sa capacité à se défendre contre une série de menaces. Nous restons solidaires avec le peuple ukrainien pendant cette invasion illégale par la Russie.

Messages du CST sur la cybersécurité en réponse aux événements en Ukraine et géopolitiques

• L’équipe de cyberdéfense du gouvernement du Canada, y compris le CST, revoit constamment les mesures prises pour garantir la sécurité de nos systèmes et de nos réseaux d’information. Nous disposons d’outils pour surveiller, détecter et étudier les menaces potentielles, et pour prendre des mesures actives afin d’y remédier.
• Bien que nous ne puissions pas parler d’événements ou de tactiques spécifiques que nous avons surveillés dans le cadre de notre mandat en matière de renseignement étranger, nous pouvons confirmer que le CST a surveillé les activités de cybermenaces liées à la crise actuelle. Le CST a partagé de précieux renseignements sur les cybermenaces avec des partenaires clés en Ukraine et continue de collaborer avec les FAC pour soutenir l’Ukraine.
• Alors que la situation s’est détériorée, le Centre pour la cybersécurité du CST continue de surveiller l’environnement de cybermenaces, au Canada et à l’échelle mondiale, y compris les activités de cybermenaces qui ciblent les réseaux d’infrastructures essentielles, les technologies opérationnelles (TO) et les technologies de l’information (TI). Nous avons récemment publié une déclaration exhortant la collectivité canadienne de la cybersécurité à redoubler de vigilance et à renforcer la sensibilisation et la protection en ce qui concerne les cybermenaces malveillantes.
• Le CST est conscient de l’augmentation du nombre de groupes hacktivistes alignés sur l’État russe qui cherchent à s’en prendre à l’Ukraine et à ses alliés.
• Nous rappelons aux exploitants et aux responsables de la défense des infrastructures essentielles canadiennes de prendre conscience des risques associés aux activités de cybermenaces connues qui sont parrainées par la Russie et de prendre des mesures d’atténuation contre celles-ci. Il est temps de prendre des mesures défensives et d’être proactif dans la surveillance du réseau et l’application des mesures d’atténuation appropriées.
• Outre les avis publics, le Centre pour la cybersécurité continue de partager des renseignements précieux sur les cybermenaces avec les partenaires canadiens du secteur des infrastructures essentielles par le biais de canaux protégés. Ces renseignements comprennent des indicateurs de compromission, des conseils sur l’atténuation des menaces et des alertes confidentielles concernant de nouvelles formes de logiciels malveillants et d’autres tactiques, techniques et procédures utilisées pour cibler les victimes.

Applications de médias sociaux basées à l’étranger

• Nous sommes conscients des questions de cybersécurité et de protection de la vie privée que posent de nombreuses plateformes et applications de médias sociaux, et c’est pourquoi nous présentons des conseils et des orientations généraux aux Canadiens. Il est important que les Canadiens prennent le temps d’évaluer les risques liés à l’utilisation des plateformes et des applications de médias sociaux, en particulier celles basées à l’étranger.
• Nous recommandons vivement aux Canadiens de réfléchir aux renseignements qu’ils partagent en ligne, à la manière dont ils sont susceptibles d’être protégés, gérés et utilisés ou partagés par d’autres, ainsi qu’aux lois nationales qui s’appliqueront à leurs renseignements et à leurs activités sur une plateforme donnée.
• Les Canadiens disposent d’un grand nombre de renseignements en libre accès sur les différentes applications et plateformes de médias sociaux, qui en détaillent les avantages et les risques. Les Canadiens doivent faire preuve de prudence en ce qui concerne leur présence en ligne et effectuer leurs propres recherches avant de s’inscrire sur de nouvelles plateformes de médias sociaux.
• Toutefois, le Centre pour la cybersécurité du CST n’est pas un organisme de réglementation et, à ce titre, il n’approuve ni n’interdit les applications de médias sociaux.

Renseignements spécifiques à l’application TikTok

• Le gouvernement prend au sérieux la sécurité et la confidentialité des données des Canadiens. Nous continuons à travailler en étroite collaboration avec des partenaires et des chefs de file du secteur de la technologie afin de garantir la protection des Canadiens et de nos systèmes.
• Le Canada reste une cible pour les cyberactivités malveillantes, notamment le cyberespionnage et l’ingérence étrangère. Les cyberacteurs mènent ces activités malveillantes pour promouvoir leurs intérêts politiques, économiques, militaires, sécuritaires et idéologiques, en manipulant les utilisateurs et en exploitant les failles de sécurité.
• Il est donc important que les Canadiens adoptent de bonnes pratiques en matière de cybersécurité, notamment en évaluant les risques liés à l’utilisation des plateformes et des applications de médias sociaux. Le Centre pour la cybersécurité a publié des conseils et des orientations mis à jour pour aider les Canadiens à se protéger en ligne et ainsi que sur l’utilisation de comptes personnels de médias sociaux au travail.
• Le gouvernement suit de près l’évolution de la situation aux États-Unis concernant l’application TikTok et n’hésitera pas à prendre des mesures pour protéger les intérêts canadiens. La présidente du Conseil du Trésor a annoncé qu’à compter du 28 février, l’application TikTok sera supprimée des appareils fournis par le gouvernement et l’application ne pourra plus être téléchargée à l’avenir.
• Cette décision a été prise après que la dirigeante principale de l’information du Canada ait déterminé que l’application présentait un niveau de risque inacceptable pour la vie privée et la sécurité des Canadiens.
• La décision de supprimer et de bloquer l’application TikTok des appareils mobiles du gouvernement est prise à titre préventif, surtout compte tenu des préoccupations concernant le cadre juridique qui régit les renseignements recueillis à partir des appareils mobiles. Cette décision est conforme à l’approche de nos partenaires internationaux. Sur un appareil mobile, les méthodes de collecte de données de l’application TikTok donnent un accès considérable au contenu du téléphone.
• Comme l’a indiqué la présidente dans sa déclaration, bien que les risques liés à l’utilisation de cette application soient clairs, nous n’avons aucune raison de croire pour le moment que des renseignements du gouvernement ont été compromis.
• Le Centre pour la cybersécurité continue de travailler en étroite collaboration avec les partenaires du gouvernement du Canada afin de garantir la sécurité de notre réseau et de nos systèmes d’information.

Ingérence étrangère dans les élections

• Tout au long des élections fédérales de 2019 et de 2021, le Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (Groupe de travail MSRE) a surveillé activement la situation électorale pour y déceler des signes d’ingérence étrangère. Un groupe d’experts composé de hauts fonctionnaires non partisans a administré le Protocole public en cas d’incident électoral majeur, qui comprend un mandat durant la période de transition d’informer le public si un incident ou une série d’événements s’est produit et a menacé la capacité du Canada à organiser des élections libres et équitables.
• Lors des élections fédérales de 2019 et de 2021, le gouvernement du Canada n’a pas détecté d’ingérence étrangère menaçant la capacité du Canada à tenir des élections libres et équitables et justifiant une communication publique, comme l’a déterminé le groupe d’experts dans le cadre du Protocole.
• Dans le cadre du mandat opérationnel du Groupe de travail MSRE, ce dernier a régulièrement rencontré des représentants de partis politiques titulaires d’une habilitation de sécurité de niveau Secret, afin de les sensibiliser aux menaces étrangères contre le processus électoral canadien et d’échanger toute information pertinente en matière d’ingérence étrangère.
• Le CST ne peut indiquer quels types de renseignements classifiés (ou donner de détails à cet égard) ont été partagés avec les partis politiques, le Bureau du Conseil privé ou le groupe d’experts pour des raisons de sécurité. Cette même restriction s’applique aux membres des partis politiques autorisés à recevoir des renseignements et des séances d’information de la part du Groupe de travail MSRE.
• Les Canadiens doivent être conscients des activités secrètes et trompeuses menées par des États étrangers, notamment la République populaire de Chine et son Parti communiste chinois au pouvoir, dans le but d’influencer les résultats d’élections démocratiques à tous les ordres de gouvernement au Canada. Bien que le système électoral canadien soit solide, l’ingérence étrangère peut éroder la confiance et menacer l’intégrité de nos institutions démocratiques, de notre système politique, de nos droits et libertés fondamentaux et, en fin de compte, de notre souveraineté.
• Afin de sensibiliser les Canadiens à cette grave menace pour la sécurité de notre pays, le CST a publié son rapport « Cybermenaces contre le processus démocratique du Canada : Mise à jour de juillet 2021 », et est d’avis que, bien que le processus démocratique du Canada n’est pas une cible prioritaire pour les auteurs de cybermenaces parrainés par des États, l’électorat canadien devra fort probablement composer avec une forme quelconque d’ingérence étrangère en ligne lors de l’élection fédérale de 2021.
• Du point de vue du CST, en coordination avec le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), nous avons proposé de fournir des conseils et des orientations en matière de cybersécurité à tous les grands partis politiques, notamment par le biais d’une brochure sur la cybersécurité à l’intention des équipes de campagne.
• En outre, tout au long de la période de l’élection générale, le CST et le Centre pour la cybersécurité ont fourni des points de contact aux 16 partis politiques fédéraux enregistrés afin d’approfondir la discussion sur les défis en matière de cybersécurité liés au processus démocratique du Canada. Si un parti politique ou un candidat était confronté à une cyberactivité suspecte, nous avions également désigné un point de contact pour une intervention rapide, dont la coordination était assurée par le siège de chaque parti politique.
• Le CST travaille en étroite coordination avec plusieurs organismes d’examen indépendants dans le cadre de la série de mesures annoncées par le premier ministre le 6 mars 2023, afin de prendre des mesures supplémentaires contre l’ingérence étrangère et de renforcer la confiance des Canadiens dans notre démocratie.
  • Il s’agit notamment de soutenir les examens effectués par le rapporteur spécial indépendant, le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR).

Cybermenaces relatives aux infrastructures essentielles canadiennes

• Le CST et son Centre pour la cybersécurité ont publié une version actualisée de l’Évaluation des cybermenaces nationales 2023-2024, qui décrit les cybermenaces nouvelles et en évolution auxquelles sont confrontés les particuliers, les organisations et les fournisseurs d’infrastructures essentielles du Canada.
• Dans l’Évaluation des cybermenaces nationales 2023-2024, nous soulignons la menace croissante que représentent les rançongiciels pour les infrastructures essentielles, les cybermenaces parrainées par des États qui ont une incidence sur les Canadiens et les technologies perturbatrices qui apportent de nouvelles menaces.
• Le CST et le Centre pour la cybersécurité surveillent en permanence les menaces émanant d’auteurs de menaces parrainés par des États, en particulier la Chine, la Russie, la Corée du Nord et l’Iran. Il est probable qu’au cours des deux prochaines années, ces États continueront à cibler des secteurs importants pour leur propre développement économique national.
• Le gouvernement du Canada, par l’intermédiaire du Centre pour la cybersécurité du CST, est en contact avec les exploitants d’infrastructures essentielles pour s’assurer qu’ils sont conscients des cybermenaces liées aux tensions géopolitiques. Le CST continue de surveiller les cyberacteurs soutenus par la Russie et de partager en temps utile les renseignements relatifs aux menaces avec les Canadiens et les organisations canadiennes.
• Les auteurs de cybermenaces sont conscients des répercussions que peut avoir le ciblage des infrastructures essentielles, exploitant leur sensibilité aux interruptions de service pour leur extorquer une rançon. Les auteurs de cybermenaces motivés par l’appât du gain, principalement les cybercriminels, exploitent les infrastructures essentielles, car les interruptions de service peuvent être préjudiciables à leurs processus industriels et à leurs clients.
• Le CST et le Centre pour la cybersécurité ont pour mission de faire progresser la cybersécurité et d’accroître la confiance des Canadiens dans les systèmes dont ils dépendent en apportant un soutien aux réseaux d’infrastructures essentielles.
• Comme le souligne l’Évaluation des cybermenaces nationales 2023-2024, les trois tendances technologiques qui, selon nous, ont le potentiel de perturber leurs domaines respectifs sont les actifs numériques et le système financier décentralisé, l’apprentissage automatique et l’informatique quantique.
• Comme indiqué dans le Bulletin sur les cybermenaces de juillet 2022, nos renseignements indiquent que des auteurs de cybermenaces de la Russie exploraient les possibilités de cyberopérations potentielles contre les sympathisants de l’Ukraine, y compris le Canada. Il s’agirait d’activités comme le cyberespionnage, le prépositionnement et les cyberopérations potentiellement perturbatrices contre des cibles d’infrastructures essentielles.
• Outre les événements géopolitiques actuels, le Centre pour la cybersécurité partage régulièrement des renseignements précieux sur les cybermenaces avec les partenaires canadiens du secteur des infrastructures essentielles par le biais de canaux protégés.
• Ces renseignements comprennent des indicateurs de compromission, des conseils sur l’atténuation des menaces et des alertes confidentielles concernant de nouvelles formes de logiciels malveillants et d’autres tactiques, techniques et procédures utilisées pour cibler les victimes.
• Le Canada entretient des relations solides et précieuses avec ses partenaires du Groupe des cinq, notamment avec ses homologues des États-Unis en matière de renseignement, de cyberdéfense et d’application de la loi. Nous partageons régulièrement avec nos partenaires des renseignements qui ont une incidence importante sur la protection de la sûreté et de la sécurité de nos pays respectifs. Bien que nous ne puissions ni confirmer, ni infirmer, ni offrir des détails spécifiques sur les renseignements échangés, de l’information sur les menaces à l’appui de la défense contre les menaces relatives aux infrastructures essentielles est régulièrement échangée et des mesures connexes sont prises, le cas échéant.

Cybermenaces (incidents) spécifiques relatives aux infrastructures essentielles canadiennes

• Comme indiqué dans l’Évaluation des cybermenaces nationales 2023-2024, nous sommes préoccupés par les occasions de perturber les infrastructures essentielles, en particulier en ce qui concerne les TO connectées à Internet qui sont sous-jacentes aux procédés industriels. Les TO connectées à Internet augmentent l’exposition aux cybermenaces des organisations qui les utilisent et augmentent également les risques qu’une activité de cybermenaces ait des effets dans le monde réel.
• Les auteurs de cybermenaces sont conscients des répercussions que peut avoir le ciblage des infrastructures essentielles, exploitant leur sensibilité aux interruptions de service pour leur extorquer une rançon. Les auteurs de cybermenace parrainés par des États ciblent les infrastructures essentielles afin d’obtenir de l’information en se livrant à l’espionnage, de se prépositionner en cas d’éventuelles hostilités et de faire acte de force et d’intimidation.
• Nous restons profondément préoccupés par la menace qui pèse sur les infrastructures essentielles et nous encourageons fortement les propriétaires et les exploitants de ces infrastructures à prendre contact avec nous afin de collaborer à la protection de leurs systèmes.

Documents de référence

Rapport du Bureau du vérificateur général

https://www.oag-bvg.gc.ca/internet/docs/parl_oag_202211_07_f.pdf

Sommaire du rapport de la vérificatrice générale sur la cybersécurité des renseignements personnels dans le nuage

Contexte

Le Secrétariat du Conseil du Trésor du Canada a publié la Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada en 2016 et l’a mise à jour en 2018. La Stratégie enjoint aux ministères d’envisager l’infonuagique comme option privilégiée pour la prestation des services de technologies de l’information.

• Le terme « nuage » désigne les serveurs informatiques auxquels les gens ont accès par Internet, ainsi que les applications logicielles et les bases de données qui fonctionnent sur ces serveurs. Les organisations qui s’en servent, y compris le gouvernement du Canada, ne sont pas tenues de posséder et d’exploiter leurs propres serveurs physiques ou applications logicielles ou d’en assurer la maintenance.

Puisque les organisations fédérales ont commencé à faire passer des applications logicielles et des bases de données au nuage, les renseignements personnels de Canadiennes et de Canadiens s’y trouvent. Pour sécuriser ces renseignements et les protéger contre les cyberattaques, le gouvernement a mis en œuvre un modèle de responsabilité partagée qui repose sur la collaboration d’un certain nombre de parties, notamment le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Services publics et Approvisionnement Canada, le Centre de la sécurité des télécommunications et chacun des ministères concernés.

Objet : Cet audit visait à déterminer si le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Services publics et Approvisionnement Canada, le Centre de la sécurité des télécommunications du Canada et les ministères fédéraux sélectionnés avaient mis en place une gouvernance, des lignes directrices et des outils adéquats et efficaces pour prévenir les événements de cybersécurité qui pourraient compromettre les renseignements personnels de la population canadienne stockés dans le nuage, détecter ces événements et agir en conséquence.

Principales constatations et recommandations

Les responsables du rapport ont constaté que les exigences mises en place par le gouvernement pour réduire les risques pour la sécurité liés au stockage d’information dans le nuage n’étaient pas toujours suivies par les ministères audités. De plus, ces exigences, de même que les responsabilités et les rôles connexes, n’étaient pas toujours clairement définies, ce qui a donné lieu à une mise en œuvre non uniforme et à des risques accrus.

• Par exemple, tous les serveurs infonuagiques doivent être au Canada. Il incombe à chaque ministère de s’en assurer. Cependant, plusieurs ministères ont estimé que cette responsabilité incombait au Centre de la sécurité des télécommunications.

Le rapport indique que le gouvernement doit prendre des mesures immédiates pour renforcer sa manière de prévenir et de détecter les cyberattaques et d’intervenir en conséquence. Il devrait prendre ces mesures dès maintenant, pendant que les ministères en sont encore aux premières étapes du transfert des renseignements personnels vers le nuage.

• Ces mesures comprennent notamment le renforcement des principaux contrôles de sécurité pour prévenir et détecter les atteintes à la sécurité et intervenir en conséquence. Elles comprennent aussi la définition des responsabilités et des rôles communs clairs en matière de cybersécurité — qui sont très complexes dans un environnement infonuagique — de sorte que tous les ministères sachent exactement ce qu’ils doivent faire.

Le rapport souligne que le financement est une question clé, car, le Secrétariat du Conseil du Trésor du Canada n’a toujours pas fourni de méthode de financement à long terme pour l’adoption de l’infonuagique.

Les responsables du rapport ont également constaté que le gouvernement fédéral n’a pas inclus de critères environnementaux dans le processus d’approvisionnement en services infonuagiques, alors qu’il était tenu de réduire les émissions de gaz à effet de serre.