Notes des comités parlementaires : Cybersécurité et protection des infrastructures essentielles du Canada

Date :

20 avril 2022

Secteur/organisme :

SSCN/DGPSN

Objet :

Vous êtes invités à témoigner devant le Comité permanent de la sécurité publique et nationale de la posture de sécurité du Canada par rapport à la Russie, et il se pourrait que la cybersécurité et la protection des infrastructures essentielles du Canada y soient discutées.

Réponse suggérée :

Contexte :

Stratégie de cybersécurité

Publiée en 2018, la Stratégie nationale de cybersécurité (SNC) du Canada compte trois grands objectifs : des systèmes canadiens sécurisés et résilients; un écosystème du cyberespace innovateur et adaptable; un leadership, une gouvernance et une collaboration efficaces. Le Plan d’action national en matière de cybersécurité (2019‑2024) qui y fait suite expose avec précision la feuille de route qui permettra l’atteinte des objectifs de la SNC.

La lettre de mandat de décembre 2021 appelait le ministre de la Sécurité publique à travailler avec les ministres de la Défense nationale, des Affaires étrangères, de l’Innovation, des Sciences et de l’Industrie, ainsi qu’avec d’autres ministres concernés, à l’élaboration et à la mise en œuvre d’une SNC renouvelée qui exposera la stratégie à long terme que le Canada entend adopter pour protéger notre sécurité et notre économie nationales, dissuader les auteurs des cybermenaces et encourager un comportement international conforme aux normes dans le cyberespace.

Systèmes de contrôle industriels

On constate une hausse mondiale du nombre de cyberincidents qui touchent les systèmes de contrôle industriels (SCI), c’est-à-dire les dispositifs et logiciels d’exploitation ou d’automatisation des processus de nombreuses infrastructures essentielles (IE). Voilà qui est important, puisque les cyberactivités malveillantes qui ciblent ces systèmes essentiels peuvent entraîner des conséquences matérielles et perturber des biens et services essentiels. Dans le cadre du Plan d’action national en matière de cybersécurité précité, Sécurité publique Canada dirige plusieurs éléments qui permettront aux propriétaires et exploitants d’infrastructures essentielles de mieux sécuriser leurs systèmes et leurs données.

Sécurité publique Canada s’emploie à améliorer la cybersécurité des SCI en augmentant la sensibilisation aux risques qui guettent ces systèmes et en renforçant les aptitudes des exploitants de SCI, au moyen de symposiums et d’ateliers techniques.

Par ailleurs, Sécurité publique Canada collabore étroitement avec le Centre pour la cybersécurité à l’élaboration de l’Outil canadien de cybersécurité, lequel propose aux organismes canadiens d’IE un outil d’autoévaluation en ligne facile à utiliser afin de raffermir leur posture de cybersécurité.

Sécurité publique Canada offre également aux organismes canadiens d’IE des évaluations et des analyses dirigées et approfondies de leurs programmes et pratiques de cybersécurité, par l’entremise de l’Examen de la cyberrésilience au Canada et de l’outil d’analyse de la résilience de la sécurité du réseau.

Exercices de cybersécurité

En plus d’y participer, Sécurité publique Canada coordonne des exercices nationaux et internationaux de cybersécurité, afin d’améliorer l’état de préparation et les efforts d’intervention en cas d’incidents physiques et cybernétiques potentiellement perturbateurs. Ces exercices permettent aux propriétaires et exploitants d’infrastructures essentielles de valider leurs plans, procédures et processus d’intervention, de reprise et de maintien des services essentiels. En mars 2021, par exemple, Sécurité publique Canada, avec la GRC et le Centre pour la cybersécurité, a mené des exercices sur table en vue d’observer la réaction à un cas de rançongiciel, et ainsi de resserrer la collaboration entre le gouvernement et les organismes du secteur privé. De plus, Sécurité publique Canada a lancé dernièrement le Programme d’exercices cybernétiques et physiques dans le but d’étudier les interdépendances entre les domaines de la cybersécurité et de la sécurité physique à l’aide d’une série d’exercices. Ce programme se terminera à l’automne 2023 par un exercice intégrateur fonctionnel à grande échelle.

Menace russe

Compte tenu de l’invasion de l’Ukraine par la Russie, le Centre de la sécurité des télécommunications et son Centre canadien pour la cybersécurité encouragent fortement tous les organismes canadiens, y compris les organismes d’IE, à prendre immédiatement des mesures raffermissant leurs moyens de défense en ligne. Les alliés du Canada attribuent à la Russie de multiples cyberactivités malveillantes à l’endroit des secteurs ukrainiens des IE. Le Canada a affiché son soutien par des déclarations qui condamnent ces activités. La Russie dispose d’imposantes cybercapacités et est reconnue pour les utiliser de façon irresponsable.

En janvier et en février 2022, le Centre pour la cybersécurité a publié des bulletins sur les menaces qui pressaient les propriétaires et exploitants d’IE à augmenter leur niveau de vigilance et à prendre des mesures d’atténuation contre les cybermenaces de la Russie.

Personnes-ressources :

Gestionnaire responsable : [CAVIARDÉ], Direction générale de la cybersécurité nationale, [CAVIARDÉ]

Approuvé par : Dominic Rochon, sous-ministre adjoint principal, Secteur de la sécurité et de la cybersécurité nationale, 613-990-4976

Date de modification :