Contexte
Le Cadre de gestion du partage des nouvelles capacités du Centre de la sécurité des télécommunications (CST) fait état d’un processus décisionnel normalisé dont le CST se sert lorsque nous avons relevé des vulnérabilités sur le plan des technologies de l’information. En l’occurrence, le Cadre permet au CST de gérer lesdites vulnérabilités avec discernement tout en priorisant la sûreté et la sécurité du Canada et des Canadiens.
Une vulnérabilité est une défectuosité ou une lacune relevée dans la conception, l’implantation, l’exploitation ou la gestion de ressources de TI (système, service ou dispositif), qui pourrait permettre à un utilisateur non autorisé d’accéder auxdites ressources de TI. Au reste, le mandat du CST exige que nous menions des recherches sur les vulnérabilités. Dans le cadre de ces recherches, nous sommes tenus de procéder à une évaluation rigoureuse des vulnérabilités nouvellement découvertes.
Dans la plupart des cas, il convient de divulguer l’information acquise aux fournisseurs concernés pour que des correctifs nécessaires soient produits. Or, dans le cas de certaines vulnérabilités, il arrive que notre évaluation nous incite à ne pas divulguer l’information dont nous disposons, dans la mesure où celle-ci pourrait nous donner un avantage grâce auquel nous pourrions recueillir du renseignement étranger permettant de renforcer la protection du Canada et des Canadiens.
Le fait de peser le pour et le contre des risques encourus par les décisions prises à l’égard des nouvelles vulnérabilités, c’est ce que l’on appelle la « gestion du partage des nouvelles capacités ». Le Cadre de gestion du partage des nouvelles capacités du CST fournit donc les éléments de réflexion sur lesquels les responsables doivent se fonder pour prendre des décisions concernant ces nouvelles capacités.
Le processus d’évaluation
L’objectif du Cadre de gestion du partage des nouvelles capacités est d’orienter le processus décisionnel de manière à garantir la sûreté et la sécurité du Canada et des Canadiens. En outre, le Cadre décrit les processus que le CST doit suivre pour évaluer une vulnérabilité dans le but d’établir s’il faut la divulguer ou la taire.
La gestion du partage des nouvelles capacités est une procédure complexe mais importante, et le CST dispose de ressources et de compétences uniques lui permettant d’être un chef de file en la matière. Certes, le renseignement étranger est un volet fondamental de notre mission. Or, notre processus de gestion du partage des nouvelles capacités privilégie la divulgation, sauf dans les cas où les motifs de non-divulgation sont évidents et les mesures d’atténuation ont été analysées en profondeur.
Nos experts du Centre canadien pour la cybersécurité sont responsables de la protection des systèmes et technologies de l’information sur lesquels les Canadiens sont en droit de compter. Tous les jours, nous prodiguons des conseils et des avis visant à sécuriser les activités que les Canadiens mènent en ligne. En l’occurrence, il faut compter notamment nos 10 principales mesures de sécurité des TI, qui recommandent d’installer sans tarder les correctifs s’appliquant aux systèmes d’exploitation et aux applications.
Divulgation des vulnérabilités
Avant d’en arriver à divulguer de l’information relative à une vulnérabilité, le Centre pour la cybersécurité collabore étroitement avec les fournisseurs de systèmes d’information et de technologie de communication pour veiller à ce que des correctifs soient accessibles. Au reste, il arrive que, de manière spontanée, les entreprises concernées reconnaissent publiquement l’apport du CST, comme ce fut le cas avec McAfee, en mai 2018, ou avec Microsoft, en novembre 2018.
Examen des décisions
La portée des décisions donnant lieu à la non-divulgation de vulnérabilités aux fins de renseignement doit être limitée dans le temps. Ainsi, il nous incombe de réévaluer la portée de chacune de ces décisions dans les 12 moins suivant la date de décision. En effet, lorsqu’il dispose d’information nouvellement acquise concernant une vulnérabilité (ou les mesures d’atténuation qui en découlent), le CST réévalue la décision prise à l’égard de la nouvelle capacité dans les plus brefs délais.
Transparence, examens et rapports
Les décisions prises par le CST suivant l’application du présent Cadre peuvent être l’objet d’un examen réalisé par le Bureau du commissaire du CST ou par le Comité des parlementaires sur la sécurité nationale et le renseignement.
Projet de loi C-59 et proposition législative concernant la Loi sur le CST
Advenant l’adoption du projet de loi C-59 et de la Loi sur le CST au Parlement, le CST apportera les modifications nécessaires à son Cadre de gestion du partage des nouvelles capacités de façon à prendre en compte les nouvelles attributions ainsi que les examens devant être menés par le nouvel Office de surveillance des activités en matière de sécurité nationale (OSSNR).
Pour consultation du Cadre de gestion du partage des nouvelles capacités du CST.