En janvier, nous avons appris que Affaires mondiales Canada a été victime d’une brèche de sécurité qui a duré un mois. Des rapports suggèrent qu’il y a eu un accès non autorisé aux données gouvernementales sensibles et aux renseignements personnels et que de nombreux·ses employé·es ne peuvent maintenant plus travailler à distance.
Malheureusement, on constate une augmentation des principales brèches de sécurité informatique à l’échelle internationale et au Canada. Plus tôt cette année, les chercheur·es ont déclaré avoir découvert 26 milliards de dossiers en ligne, y compris des combinaisons de nom d’utilisateur et de mot de passe, sur le dark Web. Au Canada, des attaques très médiatisées ont affecté la réputation de grands noms comme Petro-Canada, Indigo et la LCBO.
Individuellement, chaque titre concernant une brèche de sécurité informatique cause une mauvaise journée pour une organisation ─ et pour la population canadienne qui en dépend. Cependant, lorsqu’ils sont considérés collectivement, ils servent d’avertissement de mise en garde. À mesure que les tensions internationales augmentent et que les adversaires étrangers développent de nouvelles capacités de sécurité informatique, le secteur privé deviendra de plus en plus une cible pour les malfaiteur·ses qui veulent faire des ravages dans nos infrastructures essentielles et compromettre la sécurité nationale du Canada.
Les député·es se sont réuni·es ce mois-ci pour étudier la loi sur la cybersécurité signée par le gouvernement, le projet de loi C-26, Loi sur la cybersécurité. Les législateur·trices du Comité permanent de la sécurité publique et nationale de la Chambre des communes ont entendu une série de témoins expliquer comment le projet de loi C-26 peut être amélioré pour renforcer la cybersécurité dans le secteur privé du Canada.
Des parties prenantes, y compris CIRA ont noté que le projet de loi C-26 peut et devrait être renforcé pour favoriser la confiance de la population canadienne et des organisations canadiennes dans le projet de loi.
Comme il est actuellement rédigé, le projet de loi C-26 a deux grands mandats : la Partie I du projet de loi modifie la Loi sur les télécommunications afin d’équiper le gouvernement de nouveaux pouvoirs pour sécuriser le système de télécommunications du Canada.
La Partie II, la Loi sur la protection des cybersystèmes essentiels (LPCE), est conçue pour améliorer la cybersécurité dans quatre principaux secteurs d’infrastructures critiques : l’énergie, les finances, les télécommunications et le transport. Entre autres choses, chaque opérateur désigné au sein de ces quatre secteurs devra mettre en œuvre un ensemble de politiques et de procédures de cybersécurité et signaler tout cyberincident à son régulateur sectoriel.
En vertu du projet de loi, le gouvernement pourrait également publier des directives de cybersécurité, qui sont des ordonnances juridiquement contraignantes qui exigent que les organisations comme les banques ou les centrales nucléaires « se conforment à toute mesure établie dans la direction dans le but de protéger un système de sécurité informatique critique ».
Il ne fait aucun doute que le projet de loi C-26 est nécessaire et que l’intention est bonne. Un récent sondage mené auprès des décideur·ses canadien·nes en matière de cybersécurité a révélé que 78 % soutiennent les objectifs du projet de loi.
Mais la législation doit encore être renforcée, dans trois domaines clés. Tout d’abord, comme il est actuellement rédigé, il y a une surveillance limitée des directives de cybersécurité dans le projet de loi C-26. L’ajout d’un mécanisme de surveillance pour s’assurer que les malfaiteur·ses expert·es et non partisan·es examinent les directives de cybersécurité avant leur publication permettrait de s’assurer qu’elles ne sont pas utilisées à des fins politiques.
Deuxièmement, la loi a besoin de mécanismes de protection supplémentaires sur la façon dont l’information est partagée par le gouvernement. En vertu de la LPCE, le gouvernement peut recueillir des renseignements confidentiels ou commercialement sensibles et les partager largement avec ses partenaires de renseignements, avec peu de restrictions. Pour aider la population canadienne à faire confiance au projet de loi, la loi provisoire doit être modifiée afin que les renseignements recueillis en vertu de la LPCE ne soient utilisés qu’à des fins de cybersécurité.
Troisièmement, des mesures de transparence supplémentaires devraient être intégrées à la loi pour s’assurer que la population canadienne comprenne comment le gouvernement utilise ses nouveaux pouvoirs. Il devrait y avoir des rapports annuels qui décrivent le nombre de directives de cybersécurité publiées chaque année, les secteurs auxquels elles sont émises et d’autres détails clés, d’une manière qui ne compromet pas la sécurité nationale ou la compétitivité d’une entreprise.
Quiconque a lu les nouvelles récemment sait que le Canada a besoin d’outils législatifs plus sophistiqués pour renforcer la cybersécurité. Bien qu’il n’y ait pas de solution miracle, le projet de loi C-26 est une étape bien accueillie pour aider à améliorer le niveau de sécurité de base dans l’ensemble des infrastructures essentielles au Canada.
L’examen du projet de loi C-26 à SECU donne aux législateur·trices une occasion d’or de s’assurer que le projet de loi est le plus solide possible. Nous espérons que les député·es tiendront compte des opinions de la communauté canadienne de la cybersécurité et proposeront des modifications qui favorisent un avenir numérique fiable et plus sûr au Canada.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
