Notes des comités parlementaires : Cybersécurité et protection des infrastructures essentielles du Canada
Date :
20 avril 2022
Secteur/organisme :
SSCN/DGPSN
Objet :
Vous êtes invités à témoigner devant le Comité permanent de la sécurité publique et nationale de la posture de sécurité du Canada par rapport à la Russie, et il se pourrait que la cybersécurité et la protection des infrastructures essentielles du Canada y soient discutées.
Réponse suggérée :
- Les entreprises, les particuliers et les divers ordres de gouvernement au Canada se préoccupent sans cesse des cyberactivités malveillantes qui visent les cybersystèmes assurant le fonctionnement des infrastructures essentielles.
- Le gouvernement du Canada prend la sécurité de nos infrastructures essentielles très au sérieux. La Stratégie nationale de cybersécurité du Canada est la feuille de route du Canada vers la cybersécurité.
- Le gouvernement du Canada s’emploie à resserrer la cybersécurité des infrastructures essentielles du pays, en cernant les cybermenaces et les vulnérabilités, en se préparant aux cyberincidents et en y répondant.
- À titre d’exemple, les outils d’évaluation de la cybersécurité de Sécurité publique Canada aident les propriétaires et exploitants des infrastructures essentielles du Canada à évaluer leur cybermaturité à l’aide de repères établis et de comparaisons entre pairs, en plus de leur offrir des conseils concrets sur le renforcement de leur cyberrésilience.
- Sécurité publique Canada propose aussi des programmes axés sur les systèmes de contrôle industriels des infrastructures essentielles, lesquels misent sur les dispositifs et logiciels qui font fonctionner ou automatisent les processus dans les installations, telles que les stations de traitement des eaux usées et les centrales électriques.
- Sécurité publique Canada tient un symposium trisannuel sur la sécurité des systèmes de contrôle industriels, à l’intention des intervenants du milieu des infrastructures essentielles, propose des ateliers techniques gratuits de sensibilisation et de gestion des cyberincidents, et organise en ligne des séances de sensibilisation à la sécurité fondamentale.
- De plus, Sécurité publique Canada coordonne et anime des exercices en ligne pour le milieu des infrastructures essentielles, afin de mettre à l’épreuve et de renforcer les capacités nécessaires pour intervenir et se rétablir en cas de cyberactivité malveillante. De façon plus générale, le Ministère encourage la communication et la collaboration dans le but d’accroître la sensibilisation aux cybermenaces et aux cyberrisques, notamment avec nos partenaires internationaux.
- Sécurité publique Canada travaille en étroite collaboration avec le Centre canadien pour la cybersécurité du Centre de la sécurité des télécommunications, afin d’accroître la résilience des infrastructures essentielles au Canada. En plus de produire des avis publics, le Centre pour la cybersécurité communique de précieux renseignements sur les cybermenaces aux propriétaires et exploitants canadiens des infrastructures essentielles.
- Compte tenu de l’invasion de l’Ukraine par la Russie, le gouvernement a intensifié sa collaboration avec les secteurs des infrastructures essentielles. À cette fin, Sécurité publique Canada a animé une réunion du Réseau multisectoriel les 26 et 27 avril, de sorte que les propriétaires et exploitants d’infrastructures essentielles discutent de cybermenaces et de mesures proactives d’atténuation propres à l’industrie canadienne.
Contexte :
Stratégie de cybersécurité
Publiée en 2018, la Stratégie nationale de cybersécurité (SNC) du Canada compte trois grands objectifs : des systèmes canadiens sécurisés et résilients; un écosystème du cyberespace innovateur et adaptable; un leadership, une gouvernance et une collaboration efficaces. Le Plan d’action national en matière de cybersécurité (2019‑2024) qui y fait suite expose avec précision la feuille de route qui permettra l’atteinte des objectifs de la SNC.
La lettre de mandat de décembre 2021 appelait le ministre de la Sécurité publique à travailler avec les ministres de la Défense nationale, des Affaires étrangères, de l’Innovation, des Sciences et de l’Industrie, ainsi qu’avec d’autres ministres concernés, à l’élaboration et à la mise en œuvre d’une SNC renouvelée qui exposera la stratégie à long terme que le Canada entend adopter pour protéger notre sécurité et notre économie nationales, dissuader les auteurs des cybermenaces et encourager un comportement international conforme aux normes dans le cyberespace.
Systèmes de contrôle industriels
On constate une hausse mondiale du nombre de cyberincidents qui touchent les systèmes de contrôle industriels (SCI), c’est-à-dire les dispositifs et logiciels d’exploitation ou d’automatisation des processus de nombreuses infrastructures essentielles (IE). Voilà qui est important, puisque les cyberactivités malveillantes qui ciblent ces systèmes essentiels peuvent entraîner des conséquences matérielles et perturber des biens et services essentiels. Dans le cadre du Plan d’action national en matière de cybersécurité précité, Sécurité publique Canada dirige plusieurs éléments qui permettront aux propriétaires et exploitants d’infrastructures essentielles de mieux sécuriser leurs systèmes et leurs données.
Sécurité publique Canada s’emploie à améliorer la cybersécurité des SCI en augmentant la sensibilisation aux risques qui guettent ces systèmes et en renforçant les aptitudes des exploitants de SCI, au moyen de symposiums et d’ateliers techniques.
Par ailleurs, Sécurité publique Canada collabore étroitement avec le Centre pour la cybersécurité à l’élaboration de l’Outil canadien de cybersécurité, lequel propose aux organismes canadiens d’IE un outil d’autoévaluation en ligne facile à utiliser afin de raffermir leur posture de cybersécurité.
Sécurité publique Canada offre également aux organismes canadiens d’IE des évaluations et des analyses dirigées et approfondies de leurs programmes et pratiques de cybersécurité, par l’entremise de l’Examen de la cyberrésilience au Canada et de l’outil d’analyse de la résilience de la sécurité du réseau.
Exercices de cybersécurité
En plus d’y participer, Sécurité publique Canada coordonne des exercices nationaux et internationaux de cybersécurité, afin d’améliorer l’état de préparation et les efforts d’intervention en cas d’incidents physiques et cybernétiques potentiellement perturbateurs. Ces exercices permettent aux propriétaires et exploitants d’infrastructures essentielles de valider leurs plans, procédures et processus d’intervention, de reprise et de maintien des services essentiels. En mars 2021, par exemple, Sécurité publique Canada, avec la GRC et le Centre pour la cybersécurité, a mené des exercices sur table en vue d’observer la réaction à un cas de rançongiciel, et ainsi de resserrer la collaboration entre le gouvernement et les organismes du secteur privé. De plus, Sécurité publique Canada a lancé dernièrement le Programme d’exercices cybernétiques et physiques dans le but d’étudier les interdépendances entre les domaines de la cybersécurité et de la sécurité physique à l’aide d’une série d’exercices. Ce programme se terminera à l’automne 2023 par un exercice intégrateur fonctionnel à grande échelle.
Menace russe
Compte tenu de l’invasion de l’Ukraine par la Russie, le Centre de la sécurité des télécommunications et son Centre canadien pour la cybersécurité encouragent fortement tous les organismes canadiens, y compris les organismes d’IE, à prendre immédiatement des mesures raffermissant leurs moyens de défense en ligne. Les alliés du Canada attribuent à la Russie de multiples cyberactivités malveillantes à l’endroit des secteurs ukrainiens des IE. Le Canada a affiché son soutien par des déclarations qui condamnent ces activités. La Russie dispose d’imposantes cybercapacités et est reconnue pour les utiliser de façon irresponsable.
En janvier et en février 2022, le Centre pour la cybersécurité a publié des bulletins sur les menaces qui pressaient les propriétaires et exploitants d’IE à augmenter leur niveau de vigilance et à prendre des mesures d’atténuation contre les cybermenaces de la Russie.
Personnes-ressources :
Gestionnaire responsable : [CAVIARDÉ], Direction générale de la cybersécurité nationale, [CAVIARDÉ]
Approuvé par : Dominic Rochon, sous-ministre adjoint principal, Secteur de la sécurité et de la cybersécurité nationale, 613-990-4976
- Date de modification :