En avril dernier, sur fond de drapeaux canadiens et ukrainiens, le premier ministre Justin Trudeau est monté sur scène à l’hôtel Royal York de Toronto, aux côtés du premier ministre ukrainien Denys Shmyhal. M. Trudeau a réitéré le soutien du Canada à l’Ukraine alors qu’il parlait aux journalistes d’un nouveau programme d’aide militaire destiné à aider Kiev à repousser l’invasion illégale de la Russie.
Dans les semaines qui ont suivi, les pirates informatiques pro-russes ont riposté, comme ils·elles le font souvent, en s’en prenant aux gouvernements qui soutiennent l’Ukraine et en lançant une série d’attaques par déni de service distribué qui visent à surcharger les sites Web très en vue et à les mettre hors ligne.
Les groupes pro-russes ont ensuite revendiqué la responsabilité d’une série d’incidents touchant des cibles majeures, y compris un gazoduc de gaz naturel, le cabinet du Premier ministre et Hydro-Québec. Leur message? Ils·elles possèdent le pouvoir de perturber les réseaux canadiens et n’ont nullement peur de s’en servir.
En août, le Centre canadien pour la cybersécurité et la GRC ont publié un rapport pour nous avertir que les cybercriminel·le·s, qui s’adonnent à ces agissements dans des « paradis de la cybercriminalité », comme la Russie, continueront « sans aucun doute » à cibler les infrastructures essentielles au Canada.
Avec les tensions géopolitiques et la cybercriminalité en hausse, ces attaques soulignent la nécessité de renforcer les cyberdéfenses du Canada face à un paysage de menaces en constante évolution.
Le projet de loi C-26 du gouvernement fédéral visant à améliorer la cybersécurité dans les cybersystèmes réglementés par le gouvernement fédéral et essentiels à la société canadienne – ceux qui soutiennent les secteurs de l’énergie, de la finance, des télécommunications et des transports – nous donne la meilleure chance d’avoir une conversation nationale sur les éléments nécessaires pour créer des cyberdéfenses fortes et coordonnées.
La bonne nouvelle est que, jusqu’à présent, ces agissements n’ont pas réussi à perturber de manière significative la vie des Canadien·ne·s. Mais les cyberattaques plus graves et débilitantes sont une question de quand, pas de si.
Demain, des groupes pro-russes ou d’autres adversaires pourraient montrer de quel bois ils·elles se chauffent et interrompre les activités d’une compagnie d’électricité, d’une entreprise de distribution d’eau ou d’un grand hôpital. De telles attaques, si elles réussissent, risquent de nuire à la vie des Canadien·ne·s, voire de la menacer.
Malgré tous nos efforts, le Canada est coincé dans un jeu du chat et de la souris. Nous avons les outils, mais nous avons besoin de coordination. La cybersécurité est un sport d’équipe qui ne relève pas de la responsabilité d’un·e seul·e intervenant·e – le gouvernement, le secteur privé, les opérateur·trice·s techniques, la société civile ou les citoyen·ne·s canadien·ne·s – mais de tous.
C’est pourquoi nous nous devons d’aller de l’avant avec le projet de loi C-26 qui a pour but d’augmenter le niveau de base de la cybersécurité dans l’ensemble des cybersystèmes réglementés par le gouvernement fédéral sur lesquels les Canadien·ne·s comptent le plus.
Entre autres exigences, le projet de loi prévoit que des opérateur·trice·s désigné·e·s dans les secteurs de l’énergie, des finances, des télécommunications et des transports conçoivent des programmes de cybersécurité et signalent les incidents. Ces mesures sont essentielles pour suivre le rythme de l’évolution des menaces et de l’innovation technologique, et elles renforceront la sécurité nationale et la sécurité publique du Canada.
Il est de la plus haute importance de s’assurer que ces opérateur·trice·s sécurisent leurs réseaux. Un sondage à venir commandé par CIRA suggère que seulement 44 % des organisations interrogées ayant subi un cyberincident le signalent aux client·e·s dont les données ont été compromises, malgré un règlement mis en place qui les y oblige. Le fait que si peu d’organisations signalent les cyberincidents est signe que nous devons, en tant que pays, faire mieux.
Le projet de loi C-26 a été soumis au Comité permanent de la sécurité publique et nationale de la Chambre des communes aux fins d’étude, mais le Comité ne l’examinera probablement pas avant la fin d’automne. Les cyberattaques récentes contre les exploitant·e·s canadien·ne·s d’infrastructures essentielles montrent clairement que nous devons agir rapidement.
L’étape du processus législatif à laquelle participera le Comité représente une excellente occasion de procéder à une étude rigoureuse et à un débat public pour renforcer le projet de loi. Ce processus peut rassembler la communauté de la cybersécurité, les exploitant·e·s d’infrastructures essentielles et les parlementaires pour garantir que le projet de loi C-26 soit le plus efficace possible.
La série de cyberattaques récentes attribuées aux organisations pro-russes doit servir d’avertissement au Canada. Le projet de loi C-26 est l’occasion pour nous de répondre à l’appel et de travailler ensemble pour protéger les Canadien·ne·s. Mettons-nous au travail, avant de nous retrouver à adopter des lois au milieu d’une crise nationale de cybersécurité.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
