Sécurité et prospérité dans l’ère numérique : Consultation concernant l’approche adoptée par le Canada en matière de cybersécurité

Cette consultation est terminée. Elle a eu lieu du 16 août au 15 octobre 2016 et dans le cadre de l'engagement du gouvernement du Canada à examiner les mesures visant à protéger les infrastructures essentielles et les Canadiens des cybermenaces.

Sécurité et prospérité dans l’ère numérique : Consultation concernant l’approche adoptée par le Canada en matière de cybersécurité Version PDF (3 Mo)
Table des matières

Introduction

Le gouvernement du Canada examine les mesures prises pour protéger les infrastructures essentielles et les Canadiens contre les cybermenaces. Le présent document fait un survol de l'environnement de la cybersécurité au Canada et pose des questions sur les tendances actuelles et les futures initiatives éventuelles.

Qu'entend on par cybersécurité?

La cybersécurité fait référence à la protection de l'information numérique et de l'infrastructure qui héberge cette information. La cybersécurité s'attaque aux défis et aux menaces du cyberespace de manière à saisir les avantages et les occasions qui découlent de la vie numérique.

Pourquoi avons-nous sollicité votre point de vue?

L'environnement de cybersécurité canadien est en évolution. Les changements rapides apportés à la technologie numérique ont d'importantes conséquences sociales et économiques ainsi que des répercussions sur la sécurité. Conscient que la technologie numérique joue un rôle de premier plan dans la vie quotidienne des Canadiens, le gouvernement du Canada voulait connaître votre opinion à ce sujet.

Tendance 1 : Évolution de la cybermenace

La croissance d'Internet et des réseaux numériques et l'utilisation accrue des appareils mobiles par les particuliers, les gouvernements et les entreprises ont donné lieu à la prolifération d'un certain nombre de menaces émanant du cyberespace. Les cybercapacités qui étaient autrefois rares et dispendieuses sont devenues chose courante et abordable. Les États nations cherchent dont à établir leur présence dans le domaine cybernétique. Certains acteurs non étatiques développent aussi des cybercapacités, et bien qu'ils n'aient bien souvent ni les ressources ni le niveau de sophistication des États nations, ils peuvent tout de même être efficaces lorsqu'ils mènent des cyberactivités malveillantes et qu'ils commettent des cybercrimes. Pour compliquer encore davantage les choses, contrairement à ce qui se produit dans le monde réel, il est difficile de cerner l'origine et le but d'une cyberattaque. Ces facteurs contribuent à une cybermenace grandissante à l'endroit du Canada.

Thème : Contrer la cybercriminalité

La cybercriminalité présente un risque important pour la sécurité et le bien-être économique des Canadiens. Il existe deux catégories de cybercriminalité. La première se compose des activités criminelles traditionnelles, comme la fraude, le harcèlement et l'exploitation sexuelle, qui sont maintenant commises ou facilitées au moyen d'ordinateurs et de réseaux— la technologie est un outil qui a fondamentalement changé la manière dont les criminels opèrent. La deuxième catégorie de cybercriminalité cible la technologie en soi. Les criminels tentent de pirater des ordinateurs et des réseaux et de compromettre le fonctionnement de ces systèmes informatiques. Les deux types de cybercriminalité sont devenus plus sophistiqués et peuvent même être utilisés simultanément. Les stratagèmes de fraude par rançongiciel, par exemple, comprennent maintenant des menaces d'extorsion, des attaques par saturation ou la perte de données si les demandes de rançon ne sont pas satisfaites. Avec la croissance de marchés criminels en ligne, les outils et les services malveillants utilisés pour commettre des cybercrimes sont aussi plus accessibles. En outre, la criminalité est transnationale et exige une coopération transfrontalière importante pour perturber les activités criminelles. Faire enquête sur les cybercrimes est une tâche complexe sur le plan technique et peut nécessiter davantage de ressources que les enquêtes traditionnelles. Les services de police sont mis au défi de suivre le rythme accéléré des incidents, de s'adapter à la complexité de la technologie et de répondre au besoin grandissant d'obtenir des éléments de preuve numériques intelligibles.

Q : Comment les organismes d'application de la loi peuvent-ils mieux relever les défis croissants que présente la cybercriminalité (p. ex., grâce à une formation et à un renforcement des capacités, à de l'équipement, à des partenariats et à des initiatives innovatrices)?

Q : Comment les organisations du secteur privé peuvent-elles aider à se protéger elles-mêmes contre la cybercriminalité, notamment la menace d'attaques par rançongiciel, de fraudes et de vols d'identité, et de quels outils ont elles besoin pour y parvenir?

Q : Y a-t-il des obstacles qui nuisent au signalement des cybercrimes (ou des cybercrimes présumés) aux organismes d'application de la loi? Dans l'affirmative, quels sont-ils?

Thème : Appliquer la loi dans le cyberespace

Les services de police au Canada ont le mandat d'enquêter sur les activités criminelles dans les mondes virtuel et réel. Or, les attentes des Canadiens en ce qui a trait à l'application de la loi dans le cyberespace ne sont pas aussi bien comprises et acceptées par les Canadiens que celles qu'ils nourrissent à cet égard dans le monde réel. Entre autres exemples, les citoyens s'attendent, à juste titre, à ce que les enquêtes sur la cybercriminalité permettent de déceler et de perturber les activités criminelles commises en ligne et de tenir les criminels responsables de leurs actes. Toutefois, la croissance de nouvelles technologies et de nouvelles façons de commettre des cybercrimes compromet l'efficacité des outils et des organismes d'application de la loi existants en matière de cybercriminalité.

À mesure que les Canadiens intègrent les avancées technologiques dans leur quotidien, ils jonglent avec des questions de confidentialité, d'anonymat et de responsabilité à l'égard d'eux-mêmes et de la plus vaste collectivité dans laquelle ils vivent. Les avancées technologiques, les changements législatifs, les décisions des tribunaux et l'environnement de menaces actuel façonnent aussi les attentes des Canadiens quant à la manière dont les services de police devraient opérer dans le monde virtuel. Par exemple, les technologies de cryptage aident les Canadiens à sécuriser leurs renseignements personnels. Parallèlement, ces technologies peuvent également limiter la capacité des organismes d'application de la loi leur permettant d'enquêter sur les crimes.

Le gouvernement est déterminé à assurer la sécurité du public en appliquant efficacement la loi et en protégeant les droits individuels des Canadiens, y compris leurs droits en matière de protection des renseignements personnels. Vos opinions aideront le gouvernement et les services de police à établir un juste équilibre entre leurs responsabilités et à relever les défis en matière d'application de la loi dans le cyberespace.

Q : Quelles sont vos attentes en matière d'application de la loi dans le cyberespace? Sont-elles différentes de vos attentes dans le monde réel?

Q : En cette ère numérique, la sécurité et la protection des renseignements personnels vont de pair. De quelle façon pourrions-nous contrer la cybercriminalité, tout en respectant les droits des Canadiens relatifs à la protection des renseignements personnels et en protégeant la sécurité du public?

Thème : Se protéger des cybermenaces évoluées

Les institutions publiques, comme le gouvernement du Canada, et les entreprises canadiennes sont la cible de cyberattaques persistantes, bien financées et sophistiquées. Certains pays utilisent ces attaques aux fins d'espionnage, pour tenter d'obtenir des renseignements de nature délicate comme des stratégies de négociations internationales ou des plans militaires. Certains États font aussi de l'espionnage industriel et volent de la propriété intellectuelle canadienne (p. ex., des recherches et des pistes de développement) ou des stratégies commerciales confidentielles pour donner à leur propre économie un avantage concurrentiel. Lorsqu'elles sont fructueuses, les cyberopérations de pointe compromettent notre prospérité économique et notre souveraineté.

Outre l'espionnage, certains États développent des cyberoutils de pointe pour menacer les systèmes informatiques qui contrôlent les infrastructures essentielles, ce qui peut perturber les services essentiels et causer des dommages considérables. De plus en plus d'acteurs non étatiques semblent d'ailleurs vouloir s'attaquer aux infrastructures essentielles. Le Canada doit donc s'assurer que les services essentiels pour les Canadiens sont protégés et peuvent résister à ces cybermenaces évoluées.

Q : De quoi les organisations des secteurs public et privé ont elles besoin pour se protéger contre les cybermenaces évoluées (tels que des outils, des capacités et des renseignements)?

Q : Quelles sont les contraintes d'un échange de renseignements sur les cybermenaces évoluées et sur les vulnérabilités connexes?

Thème : Accroître la participation du public

Les Canadiens doivent savoir comment se protéger contre les cybermenaces. Les campagnes de sensibilisation du public constituent une première étape importante, mais peuvent ne pas être suffisantes pour faire face aux problèmes de sécurité que l'on rencontre dans la vie moderne. Une participation accrue à l'égard de la cybersécurité est requise de la part de tous les acteurs de la société : les petites et moyennes entreprises (PME), les intervenants majeurs de l'industrie, les éducateurs, les médias, les services de police et autres.

Q : De quelle façon les organisations des secteurs public et privé peuvent-elles travailler de concert pour sensibiliser les Canadiens à l'égard des questions de cybersécurité (p. ex., des initiatives concertées de formation en ligne)?

Q : De quelle façon pourrait on mieux informer les gens pour qu'ils sachent reconnaître un cybercrime (comme un hameçonnage ciblé) ou une vulnérabilité en matière de cybersécurité (p. ex., la sécurité des voitures en réseau ou des dispositifs de santé branchés tels que les stimulateurs cardiaques)?

Tendance 2 : Importance économique croissante de la cybersécurité

Les technologies numériques et Internet sont des moteurs d'innovation et de croissance économique de plus en plus importants. Parallèlement, la cybersécurité peut améliorer la capacité concurrentielle, la stabilité économique et la prospérité à long terme du Canada. Le Canada a l'occasion de façonner un avantage concurrentiel dans le domaine de la cybersécurité et de créer une économie numérique robuste, sécurisée et à la fine pointe.

Thème : Renforcer la confiance des consommateurs à l'égard du commerce électronique

Les Canadiens doivent pouvoir avoir confiance en la sécurité des transactions effectuées en ligne. Les cyberincidents peuvent toutefois miner cette confiance, suscitant des craintes de vol de renseignements personnels, de perte financière et d'atteinte à la vie privée. La confiance des consommateurs est tout particulièrement importante pour les petites et moyennes entreprises (PME), lesquelles contribuent à une part importante de l'économie. Bon nombre de ces entreprises ne réalisent pas qu'elles pourraient être la cible de cybercriminels et peuvent donc ne pas avoir de systèmes en place pour se protéger, détecter les attaques et reprendre leurs activités en cas de cyberincident. Même les entreprises qui reconnaissent l'importance de protéger leurs renseignements peuvent trouver difficile d'identifier des solutions abordables et efficaces. Les entreprises ont aussi un rôle clé à jouer pour ce qui est d'assurer la sécurité de leurs plateformes en ligne et des services impartis auxquels elles ont recours ainsi que de protéger les renseignements personnels et financiers de leurs clients. Le renforcement des capacités en matière de cybersécurité de toutes les entreprises canadiennes, y compris les PME, est essentiel si l'on veut préserver la confiance des consommateurs et assurer une participation continue au marché électronique.

Q : Comment peut-on encourager les entreprises canadiennes, tout particulièrement les PME, à adopter de meilleurs systèmes de cybersécurité?

Q : Quels facteurs sont importants pour vous lorsque vous considérez soumettre vos informations personnelles ou financières à un entreprise en ligne (p. ex., site internet qui affiche le logo sécurisé, adresse web qui commence avec https)?

Thème : Adopter de nouvelles technologies cybersécuritaires

Les Canadiens continuent d'adopter des dispositifs intelligents connectés (y compris des appareils de l'Internet des objets, comme des moniteurs pour bébé et des capteurs en réseau pour les services municipaux). Ces technologies utilisent et protègent l'information de différentes façons, selon les dispositifs dont il est question. Il n'existe actuellement aucune norme clairement établie en ce qui concerne la protection de ces dispositifs et des données qu'ils recueillent. Parallèlement, l'élaboration de normes de l'industrie pourrait également miner la capacité des entreprises canadiennes à mettre en marché de nouveaux produits ou retarder le lancement de produits pour les consommateurs canadiens. L'importance de ces technologies n'augmentera qu'à mesure que de nouveaux produits axés sur de nouveaux secteurs tels que la nanotechnologie et l'intelligence artificielle seront mis en marché.

Q : Quelles mesures devraient être prises pour assurer la cybersécurité des nouvelles technologies et des technologies en réseau (comme l'Internet des objets et les applications)?

Thème : Protéger les infrastructures essentielles

Les propriétaires et les exploitants des infrastructures essentielles du Canada adoptent des technologies numériques et des systèmes en réseau afin de simplifier leurs activités, d'économiser de l'argent et d'offrir de meilleurs services. Il s'agit là d'améliorations clés qui rendent les services plus efficaces et efficients pour les citoyens. D'autres pays peuvent toutefois exploiter cette connectivité aux fins de cyberespionnage et de vol, voire de sabotage. Les groupes terroristes souhaitent également utiliser des outils cybernétiques évolués pour cibler les infrastructures essentielles.

La plupart des infrastructures essentielles du Canada appartiennent au secteur privé. Le Canada devra trouver de nouvelles façons de mobiliser tous les ordres de gouvernement ainsi que les propriétaires et les exploitants des infrastructures essentielles pour véritablement examiner et contrer les cybermenaces aux services essentiels.

Q : Quels sont les obstacles au renforcement des cybersystèmes des infrastructures essentielles (au sein des secteurs et entre ces derniers)?

Q : Quelles sont les contraintes liées à l'échange de renseignements et à la mobilisation pour la protection des cybersystèmes des infrastructures essentielles du Canada?

Tendance 3 : Élargissement des frontières de la cybersécurité

Depuis la mise en oeuvre de la Stratégie de cybersécurité du Canada en 2010, les nouvelles technologies ont joué un rôle déterminant dans la transformation du paysage numérique. Compte tenu de cette nouvelle réalité, la cybersécurité doit évoluer au même rythme que les nouvelles technologies. Le Canada doit être en mesure de maintenir une approche de cybersécurité agile et flexible pour exploiter de nouvelles possibilités et développer et adopter des capacités et des technologies clés.

Thème : Bâtir une base de connaissances du XXIe siècle

Le Canada a besoin d'information plus précise sur les questions de cybersécurité. Pour dresser un portrait plus fidèle des questions de cybersécurité, il faut générer des données et des chiffres fiables et pertinents (p. ex., en menant un sondage auprès des Canadiens) et analyser systématiquement ces données. L'information peut être utilisée par des universitaires et des chercheurs, ainsi que des décideurs, pour comprendre les tendances et stimuler le développement de nouveaux services, comme une assurance contre les risques cybernétiques. Il peut s'agir d'information sur la cybercriminalité et les vulnérabilités en matière de cybersécurité, soit leurs types, leurs taux d'occurrence, leur ampleur et leurs répercussions éventuelles sur la société, les entreprises et les citoyens canadiens. Elle pourrait également comprendre des données sur les taux d'adoption de téléphones intelligents et de dispositifs en réseau, l'utilisation d'Internet et la croissance économique liée à l'économie numérique. Ces données seront nécessaires pour que le Canada puisse faire face aux menaces et cerner les possibilités en matière de cybersécurité, en particulier parce que les nouvelles technologies comportent de nouvelles vulnérabilités et offrent de nouvelles possibilités de cyberattaque dans la vie quotidienne des Canadiens.

Q : Quels renseignements (p. ex., données et chiffres) permettraient de mieux comprendre les questions de cybersécurité au Canada? Veuillez expliquer votre réponse.

Thème : Stimuler la croissance et l'innovation

Des mesures de cybersécurité rigoureuses favorisent la réussite dans le monde numérique puisqu'elles permettent de protéger l'information, les idées et les découvertes. Il est essentiel de stimuler la croissance et l'innovation dans le domaine de la cybersécurité pour que le Canada puisse continuer de profiter des avantages de l'économie mondiale numérique. Pour ce faire, le Canada devra soutenir la formation d'une main d'oeuvre qualifiée en cybersécurité ainsi que la création de centres de technologies de cybersécurité de pointe.

Q : Que faut-il pour améliorer l'innovation dans le domaine de la cybersécurité au Canada?

Q : Quelles mesures pourraient être prises pour accroître la disponibilité, la pertinence et la qualité de la formation sur la cybersécurité?

Prochaines étapes relatives à la cybersécurité au Canada

La révolution numérique a fondamentalement changé le tissu social, économique et culturel du Canada. La participation du Canada à la vie numérique a offert de nombreux avantages, a engendré une immense prospérité et a ouvert une nouvelle porte sur le monde. Par ailleurs, les Canadiens se voient régulièrement offrir de nouveaux moyens d'accéder au monde, lesquels moyens présentent des défis et des menaces qui pourraient miner les nombreux avantages de l'ère numérique. La nouvelle approche du Canada en matière de cybersécurité doit tenir compte de ces questions complexes et intégrées.

Nouvelle approche

L'objectif fondamental du plan canadien en matière de cybersécurité consiste à optimiser les avantages de la vie en numérique pour les citoyens canadiens et les entreprises canadiennes. Étant donné que l'environnement de la cybersécurité a évolué, il est maintenant évident qu'un plan efficace pour atteindre cet objectif doit être conçu à partir de principes qui peuvent s'adapter aux changements rapides du cyberespace. La nouvelle approche du Canada sera fondée sur cinq principes.

Cinq principes pour une nouvelle approche en matière de cybersécurité

Ces principes guideront les mesures prises par le Canada face à un éventail de tendances, de défis et de possibilités en matière de cybersécurité.

Principaux champs d'action

Le Canada sera guidé par ces principes en matière de cybersécurité dans les trois champs d'action présentés ci-dessous. Des initiatives prospectives pour une intervention nationale en matière de cybersécurité sont décrites sous chaque champ d'action.

Résilience

Ce champ d'action serait axé sur les éléments essentiels de la résilience cybernétique. Cela comprend la prévention et l'atténuation des cyberattaques évoluées contre les institutions et les systèmes canadiens, et l'intervention en cas de cyberattaque, ainsi qu'une plus grande mobilisation du public en matière de cybersécurité.

En voici quelques exemples :

Coopération et capacité

Ce champ d'action serait axé sur la collaboration aux fins du développement des compétences, des ressources et des outils nécessaires pour assurer une cybersécurité efficace au Canada.

En voici quelques exemples :

Innovation cybernétique

Ce champ d'action serait axé sur des initiatives qui permettraient aux gouvernements, aux entreprises et aux citoyens canadiens de prévoir les tendances, de s'adapter à un environnement changeant et de demeurer à la fine pointe de l'innovation en matière de cybersécurité.

En voici quelques exemples :

Glossaire du cahier d'exercises

Acteur non étatique
Personne, groupe ou organisation ne faisant pas partie d'un gouvernement qui joue un rôle dans la vie politique, économique ou sociale. Les acteurs non étatiques peuvent comprendre les types de groupes et d'organisations suivants : des sociétés multinationales, des organisations terroristes, des organisations criminelles et des diasporas.
Application
Désigne plus particulièrement une application qu'un utilisateur télécharge sur un appareil mobile sans fil (p. ex. une application de suivi de la condition physique).
Attaque par saturation
Un type d'attaque informatique qui consiste à submerger ou paralyser un système afin de l'empêcher de recevoir de l'information et d'interagir avec un autre système.
Commerce électronique
Achat ou vente de renseignements, de produits ou de services par Internet.
Cryptographie
Ensemble des principes, techniques et méthodes de la transformation de données afin d'en préserver le contenu, prévenir les modifications non détectées ou son utilisation non autorisée. La conversion de l'information résultant en cette nouvelle forme protégée fait référence au « chiffrement ». La conversion de l'information à sa forme originale est le « déchiffrement ».
Cyberattaque
Accès non autorisé à des renseignements électroniques ou à des appareils électroniques, à des systèmes informatiques et à des réseaux utilisés pour traiter, transmettre ou stocker cette information, ou encore leur utilisation, manipulation, interruption ou destruction (par voie électronique). Une forme d'attaque informatique, combinée à une attaque physique ou non, qui vise à endommager ou à détruire des systèmes de données informatiques d'un adversaire.
Cybercrime
Délit commis à l'aide d'un système informatique ou d'un réseau d'ordinateurs ou les impliquant directement. L'ordinateur ou ses données peuvent être la cible du délit ou l'ordinateur peut être l'instrument de perpétration du délit.
Cyberespace
Le monde électronique créé par les réseaux interreliés de la technologie de l'information et de l'information qui circule dans ces réseaux. Le cyberespace est un bien commun reliant plus de trois milliards de personnes qui échangent des idées et des services et qui tissent des liens d'amitié.
Cyberincident
Toute tentative non autorisée, réussie ou non, d'avoir accès à un réseau ou à une ressource informatique, de le ou la modifier, de le ou la détruire, de le ou la supprimer ou de le ou la rendre inutilisable.
Cybermenace
Auteur de menace qui utilise Internet pour tirer profit d'une vulnérabilité connue d'un produit afin d'exploiter un réseau et l'information qui y circule.
Cybersécurité
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.
Hameçonnage ciblé
Utilisation de faux courriels dans le but de persuader des membres d'une organisation de révéler leurs noms d'utilisateurs et leurs mots de passe. Contrairement à l'hameçonnage, qui nécessite l'envoi massif de courriels, l'hameçonnage ciblé se fait à petite échelle et est bien ciblé.
Infrastructures essentielles
Processus, systèmes, installations, technologies, réseaux, actifs et services essentiels assurant la santé, la sécurité et le bien-être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles-ci. La perturbation des infrastructures essentielles pourrait se traduire en pertes de vie et en effets économiques néfastes, et pourrait considérablement ébranler la confiance du public.
Intelligence artificielle
Domaine interdisciplinaire, communément considéré comme branche de l'informatique, consacré au développement de modèles et de systèmes capables d'exécuter des fonctions généralement associées à l'intelligence humaine, telles que le raisonnement et l'apprentissage.
Internet des objets
L'interconnexion, au moyen d'Internet, de dispositifs informatiques intégrés dans des objets de tous les jours, ce qui leur permet d'envoyer et de recevoir des données.
Nanotechnologie
Toute technologie impliquant la matière à l'échelle nanométrique : couche mince, particule fine, synthèse chimique, microlithographie avancée, etc.
Propriété intellectuelle
Selon l'Organisation mondiale de la propriété intellectuelle, la propriété intellectuelle désigne les inventions, les oeuvres littéraires et artistiques, les dessins et emblèmes ainsi que les noms et images utilisés en affaires.
Rançongiciel
Logiciel qui bloque l'accès à vos données et ne les libère qu'une fois que vous avez versé de l'argent pour les récupérer.
Date de modification :