Notes des comités parlementaires : Cybersécurité et la protection des systèmes essentiels
Projet de loi C-26 : Loi concernant la cybersécurité (reliure de la commission parlementaire)
Date : 27 juillet 2023
Classification : Non-classifié
Entièrement publiable (AIPRP)? Oui
Secteur / agence : SSCN / SP
Protection des cybersystèmes essentiels
Sujet: La protection des infrastructures essentielles contre les cybermenaces émanant d'acteurs étatiques hostiles et de cybercriminels est une composante essentielle de la cybersécurité et de la résilience qui est vitale pour la sécurité nationale et la sécurité publique.
Réponse Suggérée :
- Les cyber activités malveillantes ciblant les cybersystèmes qui sous-tendent les infrastructures essentielles sont une préoccupation constante pour les entreprises, les particuliers et le gouvernement du Canada.
- Le gouvernement du Canada prend la sécurité de nos infrastructures essentielles au sérieux. Depuis 2018, la Stratégie nationale de cybersécurité a servi de feuille de route pour la progression du Canada en matière de cybersécurité et elle a inspiré des progrès constants dans le développement de systèmes résilients, l'innovation, la coordination et la collaboration nationales en matière cybernétique.
- Le gouvernement du Canada travaille à améliorer la cybersécurité de l'infrastructure essentielle du pays en identifiant les cybermenaces et les vulnérabilités, et en se préparant pour répondre aux cyberincidents.
- Par exemple, l'Outil canadien de Cybersécurité de Sécurité publique Canada permet aux propriétaires et aux exploitants d'infrastructures essentielles du Canada de faire une auto-évaluation afin d'obtenir un aperçu de la résilience opérationnelle et de la situation en matière de cybersécurité de leur organisation ainsi que des résultats comparatifs dans l'ensemble de son secteur. L'outil offre aussi des conseils concrets sur la façon dont l'entreprise peut devenir plus résiliente aux cyber menaces.
- Sécurité publique Canada offre également des programmes axés sur les systèmes de contrôle industriels pour les infrastructures essentielles. Ceux-ci sont des appareils et logiciels qui exploitent ou automatisent les processus dans des installations telles que les usines de traitement des eaux usées et les centrales électriques.
- Par exemple, Sécurité publique Canada organise la série de symposium sur la sécurité des systèmes de contrôle industriel pour les opérateurs d'infrastructures essentielles ainsi que des sessions en ligne de sensibilisation à la sécurité fondamentale et des ateliers techniques sur la sensibilisation et la gestion des cyberincidents.
- Sécurité publique Canada coordonne et organise également des exercices cybernétiques pour la communauté des infrastructures essentielles afin de tester et de développer leurs capacités à répondre aux cybermenaces et à s'en remettre. Plus largement, le ministère promeut la communication et la collaboration avec le milieu des infrastructures essentielles pour sensibiliser la communauté aux cybermenaces et aux risques, y compris avec nos partenaires internationaux.
- Le Centre canadien pour la cybersécurité travail en collaboration avec d'autres départements gouvernementaux, le secteur privé ainsi qu'avec le monde académique afin d'accroître la résilience cyber des infrastructures essentielles au Canada. Le Centre pour la cybersécurité partage de précieux renseignements, les meilleures pratiques et des conseils techniques avec les propriétaires et exploitants canadiens d'infrastructures essentielles. Le Centre canadien pour la cybersécurité élabore également des évaluations sur des menaces et émet des avis publics et ciblés afin d'analyser les menaces auxquelles sont confrontés les propriétaires et les exploitants d'infrastructures essentielles et de partager des stratégies afin de les atténuer.
- L'évolution de l'environnement de menaces, y compris les activités hostiles menées par des acteurs étatiques, l'invasion russe de l'Ukraine en cours et la pandémie – ont démontré que nous devons continuer à développer de nouvelles approches en matière de sécurité et de résilience pour les infrastructures essentielles.
- Face à ce contexte dynamique, des efforts sont en cours pour reforcir l'approche du Canada en matière de sécurité et de résilience des infrastructures essentielles face aux risques liés à la cybersécurité, les phénomènes météorologiques extrêmes, les perturbations de la chaîne d'approvisionnement et les activités des États hostiles.
Protection des cybersystèmes essentiels Contexte :
La Stratégie de Cybersécurité
Publiée en 2018, la Stratégie nationale de cybersécurité du Canada a trois objectifs distincts : la sécurité et la résilience des cyber systèmes canadiens, l'innovation en matière de cybersécurité, l'excellence en leadership et en collaboration avec nos partenaires domestiques et internationaux. Le Plan d'Action National en Matière de Cybersécurité (2019-2024) définit le schéma pour la mise en œuvre de la Stratégie.
Dans la lettre de mandat de décembre 2021, le premier ministre a demandé au ministre de la Sécurité Publique, ainsi qu'aux ministres de la Défense nationale, des Affaires étrangères, de l'Innovation, des Sciences et de l'Industrie, et d'autres ministres concernés, d'élaborer et de mettre en œuvre une stratégie sur la cybersécurité renouvelée. Cette Stratégie articulera le plan à long terme pour protéger notre sécurité nationale et notre économie, pour dissuader les cybermenaces et promouvoir un comportement international dans le cyberespace fondé sur des normes.
Systèmes de Contrôle Industriel
Il y a eu une augmentation mondiale du nombre de cyberincidents affectant les systèmes de contrôle industriels, qui sont des dispositifs et des logiciels qui exploitent ou automatisent des processus dans de nombreuses installations d'infrastructures essentielles. Ceci est important, car les cyberactivités malveillantes ciblant ces systèmes essentiels peuvent entraîner des conséquences physiques et des perturbations sur les infrastructures et les services essentiels. Dans le cadre du Plan d'Action National sur la Cybersécurité, Sécurité publique Canada est à l'avant-garde de plusieurs éléments qui permettront aux propriétaires et exploitants d'infrastructures essentielles de mieux sécuriser leurs systèmes et leurs informations.
La Sécurité Publique Canada s'efforce d'améliorer la cybersécurité des systèmes de contrôle industriels en sensibilisant aux risques de ces systèmes et en améliorant les capacités de leurs opérateurs par le biais de symposiums et d'ateliers techniques.
De plus, Sécurité publique a travaillé en étroite collaboration avec le Centre canadien pour la cybersécurité afin d'élaborer l'Outil canadien de cybersécurité (OCC et OCC 2.0), qui fournit aux organisations canadiennes de l'infrastructure essentielle un outil d'auto-évaluation en ligne facile à utiliser pour renforcer leur posture de cybersécurité.
Additionnellement, Sécurité publique offre également aux organisations de l'infrastructure essentielle du Canada des évaluations et des analyses plus approfondies et facilitées de leurs programmes et pratiques de cybersécurité par le biais du Programme d'évaluation de la Résilience Régionale.
Exercices sur la Cybersécurité
Sécurité publique coordonne et participe à des exercices nationaux et internationaux ayant pour thème la cybersécurité, afin de renforcer les efforts de préparation et d'intervention en cas d'événements physiques et cybernétiques potentiellement perturbateurs. Grâce à ces exercices, les propriétaires et opérateurs d'infrastructures essentielles sont en mesure de valider leurs plans, procédures et processus qui concernent la réponse, la reprise et la continuité de leurs services essentiels. Par exemple, en mars 2021, Sécurité publique Canada, en collaboration avec la GRC et le Centre canadien pour la Cybersécurité, a organisé des exercices pour examiner la réponse à un incident fictif de rançongiciel, ceux-ci mettant l'accent sur la collaboration entre le gouvernement et les organisations du secteur privé. De plus, Sécurité publique Canada a récemment lancé le programme d'exercices Cy-Phy qui examine l'interdépendance entre les domaines cyber et physique grâce à une série d'exercices liés à la cybersécurité et à la sécurité physique, aboutissant à un exercice de synthèse fonctionnel à grande échelle à l'automne 2023.
Ingérence étrangère
Au cours des dernières années, le Canada a constaté une augmentation de la fréquence et de la sophistication des activités hostiles parrainées par des États (AHPE) y compris de la République populaire de Chine (RPC), qui cherchent à promouvoir leurs intérêts politiques, économiques et de sécurité au détriment de ceux du Canada.
Il peut s'agir de menaces, de harcèlement et d'intimidation. Les États étrangers adoptent de telles tactiques dans des objectifs stratégiques, notamment pour rehausser leur influence géopolitique, faire avancer leur économie, ébranler l'ordre international fondé sur des règles, assurer leur stabilité intérieure ou faire des gains militaires. Certaines de ces activités peuvent cibler des résidents du Canada ou des institutions canadiennes pour faire avancer des intérêts stratégiques, au détriment de nos valeurs et de nos intérêts nationaux.
Dans le cadre de son mandat d'enquête sur les menaces à la sécurité du Canada, y compris l'ingérence étrangère, le Service canadien du renseignement de sécurité (SCRS) a constaté de multiples événements où des États étrangers ont ciblé des institutions et des collectivités canadiennes. Quant à la Gendarmerie royale du Canada (GRC), elle sait que des activités illégales commandées par des États sont menées contre la population et les intérêts du Canada, et enquête sur ces activités dans le cadre de son mandat. La portée des AHPE potentielles peut être grande et englober un éventail de techniques que les services de renseignement connaissent bien. Par exemple, il peut s'agir de collecte de renseignements, d'exploitation des médias d'État, de campagnes de désinformation, ou de l'utilisation de cyberoutils très sophistiqués.
La menace russe
À la lumière de l'invasion de l'Ukraine par la Russie, l'Établissement de Sécurité des Communications et son Centre pour la cybersécurité encouragent toutes les organisations canadiennes, incluant les infrastructures essentielles, de prendre des actions immédiates pour renforcer les défenses de leurs systèmes en ligne. Les alliés du Canada ont attribuer à la Russie une multitude d'incidents où des acteurs malveillants ont ciblé des infrastructures essentielles ukrainiennes. Le Canada a publié des déclarations de soutien, condamnant ces activités. La Russie possède d'importantes capacités pour les attaques cybers, et un historique démontré de leur utilisation irresponsable.
En février 2023, le Centre pour la cybersécurité a publié une alerte concernant les risques de cyberactivités malveillantes contre les nations alliées de l'Ukraine. L'alerte avertit précisément les organisations canadiennes et les exploitants d'infrastructures essentielles de se préparer à la possible perturbation, dégradation et tentative d'exploitation des actifs réseau canadiens par des auteures et auteurs de cybermenaces dont les activités veillent aux intérêts russes. Il recommande également des mesures à prendre pour atténuer les risques.
- Date de modification :