Stratégie nationale de cybersécurité 2019-2024 : Rapport sur l'examen de mi-parcours

Avant-propos

Tant de choses ont évolué depuis la publication de la Stratégie nationale de cybersécurité en juin 2018. Aujourd'hui, plus que jamais, les Canadiens travaillent, apprennent, font leurs achats et socialisent en ligne, la pandémie de COVID-19 ayant accéléré la transition du Canada vers une économie numérique.

L'infrastructure physique étant de plus en plus numérisée, les systèmes canadiens sont plus interconnectés que jamais. L'interconnectivité présente de grands avantages, mais elle peut aussi nous rendre vulnérables. Aujourd'hui, les menaces telles que les rançongiciels, la fraude en ligne, le cyberespionnage, l'ingérence étrangère, le vol de données sensibles et les attaques perturbatrices contre des infrastructures vulnérables ne cessent de se multiplier. Le gouvernement travaille ardemment à réduire les risques en assurant la sécurité des systèmes essentiels, en appuyant l'innovation et en protégeant les activités des Canadiens en ligne, mais il reste beaucoup de pain sur la planche.

Au cours des dernières années, il y a eu une augmentation significative des cybermenaces pour la sécurité nationale et celle des Canadiens. Les acteurs étatiques hostiles et les cybercriminels ont ciblé nos infrastructures essentielles, les institutions gouvernementales, les renseignements scientifiques sensibles et la propriété intellectuelle, ainsi que les Canadiens. Le caractère sans frontières du cyberespace vient accentuer le risque, car aucune caractéristique géographique ne peut nous protéger.  

Notre stratégie a été conçue de façon à pouvoir être adaptée en fonction de l'évolution du cyberespace. Pour s'assurer de l'adaptabilité et de la souplesse de la Stratégie face aux problèmes nouveaux et existants, Sécurité publique Canada a mené un examen de mi-parcours (l'examen), qui a permis d'identifier les risques, les possibilités ainsi que les lacunes que présente notre approche actuelle. L'examen a clairement indiqué quelles doivent être nos futures priorités dans le cyberespace.

Cet examen orientera l'approche que nous adopterons pour réaliser le mandat confié par le premier ministre d'élaborer et de mettre en œuvre une nouvelle stratégie nationale de cybersécurité qui définira la stratégie à long terme du Canada pour assurer la sécurité nationale, protéger l'économie, dissuader les acteurs des cybermenaces et promouvoir à l'échelle internationale un comportement fondé sur des normes dans le cyberespace.

Je suis heureux de partager les conclusions de l'examen dans ce rapport. Ensemble, poursuivons nos efforts avec nos partenaires pour faire du Canada un pays sécuritaire et résilient.

L'honorable Marco Mendicino
ministre de la Sécurité publique du Canada

Sommaire

Introduction et contexte

En juin 2018, le gouvernement du Canada a publié la Stratégie nationale de cybersécurité (SNC ou la Stratégie). La SNC présente la vision du Canada relativement à la sécurité et à la prospérité à l'ère numérique et établit trois objectifs fondamentaux en réponse aux menaces changeantes, aux nouvelles possibilités et à la nécessité d'une action concertée. Dans le Plan d'action national en matière de cybersécurité 2019-2024 (le Plan d'action) qui découle de la Stratégie, huit organismes fédéraux chapeautent 14 initiatives horizontales Note 1. Financées par le budget de 2018 (507,7 M$ sur cinq ans et 108,8 M$ par la suite), ces initiatives représentent une première étape vers la concrétisation de cette vision. La Stratégie ayant été conçue pour être souple, il était prévu que des initiatives supplémentaires puissent être identifiées au fil de l'évolution du paysage cybernétique.

Sécurité publique Canada a entrepris en 2021 un examen de mi-parcours (EMP) de la Stratégie nationale de cybersécurité. L'examen visait les objectifs suivants :

  1. Évaluer le rendement et le maintien de la pertinence de la Stratégie;
  2. Examiner les progrès réalisés en vue d'atteindre les résultats attendus, et les leçons apprises.

Constatations de l'examen

L'examen a mis en évidence les principales tendances observées en matière de cybersécurité. Le paysage mondial a considérablement changé depuis la publication de la Stratégie en 2018. La pandémie de COVID-19 a forcé beaucoup plus de Canadiens à travailler, à apprendre, à magasiner et à socialiser en ligne. Bien que les activités en ligne des Canadiens présentent de nombreux avantages, elles exposent également ces derniers à un paysage de cybermenaces en évolution.

L'examen a mis en évidence des risques de plus en plus nombreux dans le paysage actuel de la cybersécurité, comme indiqué ci-dessous :

  1. Depuis la publication de la Stratégie en 2018, la dépendance du Canada envers les systèmes et les infrastructures numériques a augmenté, une tendance accélérée par la pandémie de COVID-19. De plus, les systèmes essentiels dont les Canadiens dépendent chaque jour sont de plus en plus numérisés et interconnectés.
  2. Il y a eu une augmentation significative du nombre de protagonistes de la cybermenace et de leur degré de sophistication. Ces derniers profitent de notre dépendance aux technologies connectées à Internet pour mener des activités malveillantes. De plus, face aux défis croissants, les services de renseignement, de sécurité et de police ont de plus en plus de difficulté à suivre le rythme. Enquêter sur les cybermenaces, y compris la cybercriminalité, les atténuer ou les contrer demande beaucoup de ressources, est complexe et relève souvent de plusieurs juridictions.
  3. La pénurie croissante de main-d'œuvre dans le domaine de la cybersécurité continue d'être un défi urgent pour les gouvernements et les organisations, tant au Canada qu'à l'échelle mondiale.

Conclusion

Le gouvernement du Canada continue de faire face aux défis d'un environnement de cybermenaces de plus en plus complexe. En raison des tensions internationales croissantes, les valeurs, l'intérêt national et la prospérité du Canada sont plus que jamais menacés par des acteurs étatiques et non étatiques qui tirent parti des cyberactivités malveillantes. Les activités d'influence étrangère en ligne sont devenues une nouvelle norme, la cybercriminalité et la fraude en ligne augmentent en volume et en complexité, les incidents liés aux rançongiciels sont de plus en plus nombreux, et les propriétaires et exploitants d'infrastructures essentielles continuent d'être ciblés dans tout le pays. Le gouvernement du Canada doit continuer à se protéger contre les menaces qui visent les Canadiens et les systèmes canadiens, mais doit aussi s'efforcer de faire progresser sa capacité cybernétique offensive. Cette double approche sera essentielle afin que le Canada puisse continuer à s'adapter au cyberécosystème en constante évolution.

Le Canada compte sur le leadership fédéral ainsi que sur la collaboration avec d'autres ordres de gouvernement et le secteur privé pour assurer la sécurité et la prospérité à l'ère du numérique. Le leadership fédéral peut aider à rehausser la norme pour la cybersécurité au niveau national, en protégeant les Canadiens et les entreprises canadiennes. Un Canada numérique sûr et prospère aidera à bâtir un cyberespace stable, prévisible, inclusif et mondial.

Introduction

La place du Canada dans le monde numérique

Le paysage cybernétique a été profondément modifié par la pandémie de COVID-19 déclarée au début de 2020. Alors que de plus en plus de Canadiens travaillent, font des achats et socialisent à distance, les auteurs de menaces profitent de plus en plus de l'importance croissante de l'Internet et des technologies connectées à Internet.

Chaque jour, les Canadiens et les systèmes canadiens sont la cible de cyberactivités malveillantes. De récentes activités cybernétiques ont ciblé la recherche de vaccins contre la COVID-19 Note 2, ont interrompu le fonctionnement d'infrastructures essentielles (p. ex. secteur de la santé de Terre-Neuve-et-Labrador Note 3, Northwest Territories Power Corporation Note 4) et ont coûté des centaines de millions de dollars aux Canadiens et aux entreprises canadiennes en coûts directs et accessoires Note 5. À l'échelle mondiale, les récents cyberincidents comprennent l'attaque par rançongiciel du Colonial Pipeline Note 6, le piratage de SolarWinds Orion Note 7, et l'incident de JBS Foods Note 8, qui ont respectivement perturbé l'approvisionnement en carburant aux États-Unis, compromis des données sensibles dans le monde entier et retardé la production alimentaire. Les perturbations causées par les cyberactivités malveillantes ont des conséquences réelles pour les Canadiens puisqu'elles ont une incidence sur les services essentiels, causent des dommages financiers importants et nuisent grandement à la réputation des organisations et minent la confiance envers les institutions. Elles soulignent également les vulnérabilités des systèmes, des infrastructures essentielles et des chaînes d'approvisionnement du Canada, ainsi que l'essence même de ses systèmes démocratiques.

La stratégie nationale de cybersécurité

La Stratégie nationale de cybersécurité publiée en 2018 décrit la vision du Canada en matière de sécurité et de prospérité à l'ère numérique. La SNC établit trois objectifs fondamentaux en réponse aux menaces changeantes, aux nouvelles possibilités et à la nécessité d'une action concertée :

Le Plan d'action national en matière de cybersécurité (2019-2024) (le Plan d'action) est un plan détaillé pour la mise en œuvre de la Stratégie. Il établit les initiatives et les activités à l'appui de chacun des trois objectifs. Il présente également une feuille de route sur la façon dont le gouvernement prévoit réaliser et maintenir la vision du Canada en matière de sécurité et de prospérité à l'ère numérique.

La Stratégie appuie et amplifie une série d'autres priorités du gouvernement dans les domaines de la sécurité nationale, de la défense, de la politique étrangère et de l'économie. Cela comprend des efforts continus visant à protéger les systèmes du gouvernement du Canada, à améliorer les politiques de cybersécurité dans le programme international du Canada, à développer les capacités de cybersécurité des Forces armées canadiennes, et à supporter la réalisation du mandat confié au ministre des Institutions démocratiques de défendre le processus électoral contre les cybermenaces.

Examen de mi-parcours de la Stratégie nationale de cybersécurité

En 2021, en collaboration avec ses partenaires fédéraux, Sécurité publique Canada a procédé à l'examen de mi-parcours afin d'évaluer le rendement de la Stratégie et de cerner les possibilités d'amélioration. Le présent rapport décrit les réalisations en matière de rendement, les activités réalisées, les défis et les leçons apprises dans le cadre de la mise en œuvre de la Stratégie. Il se veut une première étape dans une conversation nationale plus vaste et continue sur la cybersécurité.

Réalisations en matière de rendement

L'examen a évalué le rendement des initiatives au cours des trois premières années de la Stratégie. Dans l'ensemble, l'examen a démontré que les activités ont été entreprises et que les résultats ont été atteints. Il a également permis de constater que la Stratégie profite globalement au Canada et aux Canadiens, et que les investissements fédéraux stratégiques faits dans le cadre de la Stratégie ont établi une base solide sur laquelle le gouvernement du Canada peut s'appuyer.

Depuis 2018, des mesures ont été prises pour défendre le Canada contre les cybermenaces et les auteurs malveillants et pour développer davantage la position du Canada en matière de cybersécurité. La collaboration avec des partenaires nationaux et internationaux a renforcé la capacité du gouvernement du Canada à protéger les Canadiens contre la cybercriminalité et à réagir aux menaces émergentes. La collaboration a également été essentielle pour fournir une orientation et des conseils aux propriétaires et aux exploitants d'infrastructures essentielles.

Le leadership du gouvernement du Canada a contribué à la croissance du secteur de la cybersécurité au Canada grâce à de modestes investissements dans la recherche et l'innovation, mais nous continuons à avoir de la difficulté à répondre aux besoins croissants en matière de cyberprofessionnels. À l'échelle internationale, le Canada assume un rôle de chef de file pour faire avancer ses intérêts en matière de cybersécurité, notamment en façonnant le cyberespace d'une manière qui fait progresser les valeurs ainsi que les intérêts économiques et de sécurité du Canada.

Les principales réalisations à ce jour comprennent la création de deux organisations phares dans le cadre de la Stratégie : le Centre canadien pour la cybersécurité (Cybercentre) sous l'égide du Centre de la sécurité des télécommunications (CST) et le Groupe national de coordination contre la cybercriminalité (GNC3), un service de police national sous la direction de la Gendarmerie royale du Canada (GRC). De plus, le Service canadien du renseignement de sécurité (SCRS) a mis sur pied une direction générale dédiée aux opérations cybernétiques chargée d'enquêter sur les menaces qui pèsent sur la sécurité du Canada provenant d'acteurs cybernétiques hostiles. La création de ces centres d'expertise est une réussite majeure pour le gouvernement du Canada. En plus de souligner ces nombreuses réussites, l'examen fournit des indications sur les éléments qui pourraient être améliorés dans le cadre de la Stratégie. Ces idées répondent aux évolutions sociétales et technologiques émergentes, à la multiplication des menaces et à la croissance exponentielle des risques.

Pleins feux sur les organisations phares

Centre canadien pour la cybersécurité (Cybercentre)

Le CST dispose d'un deuxième site actif depuis 2021. Créé dans le cadre de la Stratégie, le Cybercentre est la seule source unifiée de conseils techniques, de directives, de services et de soutien en matière de cybersécurité pour le gouvernement, les propriétaires et les exploitants d'infrastructures essentielles, le secteur privé et le public canadien. Les employés du Cybercentre peuvent travailler dans l'environnement aux multiples classifications qu'offre cette installation, ce qui est nécessaire pour soutenir le Cybercentre en tant qu'organisation offrant des services à l'externe. Avec le Cybercentre, les Canadiens ont un endroit précis et fiable à leur disposition pour les questions de cybersécurité.

Groupe national de coordination contre la cybercriminalité (GNC3)

Le GNC3 a été établi dans le cadre de la Stratégie pour aider à réduire la menace, l'impact et la victimisation de la cybercriminalité au Canada. À titre de service de police national, le GNC3 dessert tous les services de police canadiens. Il coordonne les enquêtes sur la cybercriminalité au Canada et collabore avec des partenaires internationaux pour lutter contre un large éventail de cybercrimes. Le GNC3 a atteint sa capacité opérationnelle initiale en 2020 et atteindra sa pleine capacité opérationnelle en 2024.

Objectif 1 : Des systèmes sécurisés et résilients

Dans le cadre du premier objectif de la Stratégie, des mesures concrètes ont été prises par le gouvernement du Canada pour protéger les Canadiens et les systèmes canadiens au cours des trois dernières années. Cet objectif comprend des mesures pour lutter contre la cybercriminalité et pour faire face à l'évolution des menaces, ainsi que des mesures qui contribuent à la défense des systèmes informatiques essentiels, y compris les infrastructures essentielles.

Principales réalisations :

Principales difficultés :

Objectif 1 : Tableau des activités

Description : Un tableau décrivant les jalons de l'initiative pour l'objectif 1 de la Stratégie nationale de cybersécurité : des systèmes sécurisés et résilients. Le tableau énumère l'initiative, le ministère qui la dirige, l'action ou le jalon de l'initiative, la date cible de réalisation et l'état actuel de l'action ou du jalon.

Initiative

Ministère

Activités

Date Cible

État

Appui aux propriétaires et exploitants canadiens d'infrastructures essentielles

Sécurité publique Canada (SP)

Acquérir ou créer un outil technique de cyberévaluation

2019

Terminé

Établir un comité consultatif sur les systèmes de contrôle industriel (SCI)

2019

Terminé

Accroître le nombre d'exercices de cybersécurité offerts aux intervenants en infrastructures essentielles

2020

Terminé

Élaborer une solution technique de formation et de sensibilisation à la sécurité des SCI

2020

Terminé

Évaluation intégrée des menaces améliorée

Centre de la sécurité des télécommunications (CST)

Rendre le CST plus apte à répondre à la demande croissante d'évaluations des cybermenaces

2024

En cours

Rendre le CST capable d'évaluer un plus large éventail de cybermenaces tenant compte de la clientèle croissante du Cybercentre

2024

En cours

Préparer les communications gouvernementales aux progrès de l'informatique quantique

Centre de la sécurité des télécommunications (CST)

Protéger les renseignements classifiés du gouvernement contre les progrès anticipés de l'informatique quantique

2023

En cours

Étendre la portée des conseils et des directives aux secteurs des finances et de l'énergie

Centre de la sécurité des télécommunications (CST)

Les secteurs des finances et de l'énergie travaillent en collaboration avec le Cybercentre et à l'intérieur de leur secteur respectif pour améliorer leur niveau de cybersécurité

2024

En cours

Élever le niveau de cybersécurité dans les secteurs des finances et de l'énergie

2024

En cours

Collecte de cyberrenseignement et l'évaluation des cybermenaces

Service canadien du renseignement de sécurité (SCRS)

Accroître la collecte de cyberrenseignement sur la sécurité nationale et la production d'évaluations des cybermenaces par le SCRS

2023

En cours

Groupe national de coordination contre la cybercriminalité (GNC3)

Gendarmerie royale du Canada (GRC)

Atteindre la capacité opérationnelle initiale

2020

Terminé

Créer le groupe consultatif du GNC3

2021

Terminé

Lancer un système national de signalement public d'incidents de cybercriminalité et de cyberfraudes

2023

En cours

Atteindre la capacité opérationnelle totale

2024

En cours

Capacité d'application de la loi de la Police fédérale en matière de cybercriminalité

Gendarmerie royale du Canada (GRC)

Déployer des cyberspécialistes à l'étranger

2020

Terminé

Établir et appuyer des équipes d'enquête sur la cybercriminalité

2021

Terminé

Recruter et former des spécialistes de la cybercapacité

2021

En cours

Objectif 2 : Un écosystème du cyberespace novateur et adaptable

Dans le cadre du second objectif, le gouvernement du Canada a joué un rôle de chef de file en soutenant le secteur canadien de la cybersécurité en pleine croissance grâce à des investissements qui ont appuyé la recherche, l'innovation et le perfectionnement des compétences. Le gouvernement du Canada entrevoit un avenir dans lequel tous les Canadiens joueront un rôle actif pour guider et soutenir la cyberrésilience de notre nation. Les initiatives lancées dans le cadre de cet objectif ont été conçues pour permettre aux gouvernements, aux entreprises et aux citoyens canadiens d'anticiper les tendances, de s'adapter à un environnement changeant et de rester à la fine pointe de l'innovation en matière de cybersécurité.

Principales réalisations :

Principales difficultés :

Objectif 2 : Tableau des activités

Description : Un tableau décrivant les jalons de l'initiative pour l'objectif 2 de la stratégie nationale de cybersécurité : un écosystème du cyberespace novateur et adaptable. Le tableau énumère l'initiative, le ministère qui la dirige, l'action ou le jalon de l'initiative, la date cible de réalisation et l'état actuel de l'action ou du jalon.

Initiative

Ministère

Activités

Date Cible

État

Programme de stages pratiques en cybersécurité pour étudiants

Emploi et Développement social Canada

Lancement du Programme d'apprentissage intégré en milieu de travail pour étudiants

2018

Terminé

Évaluation du Programme d'apprentissage intégré en milieu de travail pour étudiants

2021

Terminé

Évaluation et certification en cybersécurité pour les petites et moyennes entreprises

Innovation, Sciences et Développement économique (ISDE) en collaboration avec le CST et le CCN

Élaboration de contrôles de sécurité en collaboration avec le CST

2019

Terminé

Lancement d'un outil d'éducation et de sensibilisation à la cybersécurité

2019

Terminée

Lancement d'un programme de cybercertification

2019

Terminé

Lancement d'une norme nationale sur la cybersécurité

2020

Terminé

Objectif 3 : Leadership, gouvernance et collaboration efficaces

Dans le cadre du troisième objectif, le gouvernement du Canada a fait preuve de leadership dans la promotion des intérêts et des valeurs du Canada en matière de cybersécurité, tant au pays qu'à l'étranger. Le gouvernement du Canada a amélioré la collaboration et la coordination des questions de cybersécurité et de cybercriminalité entre les intervenants et a plaidé pour un Internet ouvert, libre et sécurisé. De plus, le gouvernement du Canada a augmenté l'échange d'information entre les partenaires afin de soutenir la prise de décisions fondée sur des données probantes.

Principales réalisations :

Principales difficultés :

Objectif 3 : Tableau des activités

Un tableau décrivant les jalons de l'initiative pour l'objectif 3 de la stratégie nationale de cybersécurité : leadership, gouvernance et collaboration efficaces. Le tableau énumère l'initiative, le ministère qui la dirige, l'action ou le jalon de l'initiative, la date cible de réalisation et l'état actuel de l'action ou du jalon.

Initiative

Ministère

Activités

Date Cible

État

Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité

Sécurité hublique Canada (SP)

Recruter une équipe de politiques stratégiques

2022

Terminé

Procéder à un examen annuel de l'état d'avancement

2021-2024

En cours

Procéder à un examen de la gouvernance

2021

Terminé

Programme de coopération en matière de cybersécurité (PCCS)

Sécurité publique Canada (SP)

Procéder au lancement du PCCS renouvelé

2019

Terminé

Effectuer le marketing du programme

2019

Terminé

Lancer l'appel de propositions

2019

Terminé

Décaisser les fonds du projet

2019

Terminé

Centre canadien pour la cybersécurité

Centre de la sécurité des télécommunications (CST)

Procéder au lancement virtuel du Centre canadien pour la cybersécurité (le Cybercentre)

2018

Terminé

Réaliser la capacité opérationnelle de base

2022

En cours

Réaliser la pleine capacité opérationnelle

2023

En cours

Cadre stratégique international pour le cyberespace

Affaires mondiales Canada

Procéder au lancement d'un groupe de travail international sur la cybercollaboration

2018

Terminé

Créer une équipe cybernétique à Affaires mondiales Canada

2019

Terminé

Élaborer une cyberstratégie internationale

2022

En cours

Travailler au renforcement des capacités liées à la cybersécurité

2019

Terminé

Élaborer une politique d'attribution

2019

Terminé

Pourvoir le poste à la mission de Washington

2020

Terminé

Tenir des réunions pertinentes sur la cybersécurité

2024

En cours

Soutenir les participants internationaux dans les négociations en cybersécurité

2024

En cours

Promouvoir les valeurs et les intérêts canadiens en ce qui a trait aux enjeux liés au cyberespace dans les instances internationales

2024

En cours

Collaboration bilatérale sur la cybersécurité et l'énergie

Ressources naturelles Canada (RNCan)

Recruter du personnel de base pour l'équipe de collaboration bilatérale

2019

Terminé

Lancer un premier appel de déclarations d'intérêt et de propositions de projets

2019

Terminé

Signer des accords de contribution et décaisser des fonds pour les projets de première ronde

2019

Terminé

Lancer un second appel de déclarations d'intérêt et de propositions de projets

2020

Terminé

Signer des accords de contribution et décaisser des fonds pour les projets de deuxième ronde

2020

Terminé

Participer à des activités clés d'échange de renseignements, à des ateliers et à des séances d'information avec le gouvernement des États-Unis

2023

En cours

Faire progresser des initiatives conjointes avec les partenaires américains sur la cybersécurité et l'énergie (p. ex. exercices de simulation, R-D, échange de renseignements)

2023

En cours

Défis et leçons apprises

L'examen a permis de réfléchir aux défis et aux leçons apprises au cours des trois premières années de la SNC. Le plus grand défi à relever dans la mise en œuvre de la Stratégie a été la pandémie de COVID-19 qui a débuté en 2020, moins d'un an après le commencement de la mise en œuvre du Plan d'action en matière de cybersécurité (2019-2024). La pandémie a entraîné une baisse des dépenses de programmes, provoqué des difficultés d'approvisionnement et exacerbé les pénuries de personnel. Cependant, bien qu'il y ait eu des retards initiaux, la plupart des ministères et organismes ont pu se tourner vers la prestation virtuelle, et la communauté fédérale de la cybersécurité est restée sur la bonne voie pour réaliser ses activités clés. Dans certains cas, la formule virtuelle a permis à certains ministères et organismes d'accroître la portée de leurs programmes et services.

En plus de ces constatations globales, l'examen a également permis d'identifier des défis et des leçons apprises, décrits ci-dessous :

Systèmes du gouvernement du Canada

Sécurité nationale

Cybercriminalité

Infrastructure critique

Innovation, adaptation et développement de la main-d'œuvre 

Leadership, gouvernance et collaboration

Conclusion

Les investissements initiaux dans le cadre de la Stratégie nationale de cybersécurité ont été essentiels aux efforts déployés par le gouvernement du Canada pour protéger le pays et les Canadiens contre la cybercriminalité, le cyberespionnage, la perturbation des infrastructures essentielles et d'autres cybermenaces comme l'ingérence étrangère et les menaces économiques à la sécurité nationale. Cependant, depuis la publication de la Stratégie en 2018, le cyberenvironnement mondial a changé. L'évolution de l'environnement cybernétique et le rythme accéléré auquel les menaces évoluent nécessitent désormais une réponse nationale et internationale beaucoup plus complète et agile.

À la suite des récents incidents de cybersécurité, notamment celui qui a perturbé les systèmes essentiels des soins de santé à Terre-Neuve-et-Labrador en octobre 2021 Note 9, le gouvernement du Canada continuera de s'appuyer sur les fondements de la cyberrésilience du Canada pour assurer la sécurité des Canadiens et de l'économie, ainsi que la sécurité nationale.

La pénurie de main-d'œuvre en cybersécurité demeure l'un des défis les plus critiques et les plus urgents pour le Canada. Le gouvernement du Canada continuera de soutenir le perfectionnement de la main-d'œuvre sur la scène nationale afin de préparer la prochaine génération de professionnels de la cybersécurité.

Le Canada peut continuer à améliorer la cybersécurité nationale en sécurisant ses infrastructures numériques, en renforçant sa capacité offensive à prendre des mesures perturbatrices contre les cybercriminels, en dissuadant les menaces croissantes aux intérêts nationaux du Canada, en augmentant le nombre de professionnels de la cybersécurité, en investissant dans d'importantes innovations en cybersécurité, en poursuivant et en perturbant les cybercriminels par des mesures d'application de la loi, en augmentant l'hygiène cybernétique et la sensibilisation aux cybermenaces, et en collaborant avec d'autres ordres de gouvernement, le secteur privé et le milieu universitaire.

En décembre 2021, le premier ministre a réaffirmé l'importance stratégique de la cybersécurité en donnant le mandat de renouveler la Stratégie. Ce renouvellement sera l'occasion d'examiner quels investissements supplémentaires seront nécessaires pour continuer à protéger la sécurité nationale et économique du Canada contre les cybermenaces telles que l'espionnage, la cybercriminalité, la perturbation des infrastructures essentielles et l'ingérence étrangère.

Annexe A : Glossaire

Intelligence artificielle
Sous-domaine de l'informatique qui porte sur le développement de programmes informatiques intelligents qui peuvent résoudre des problèmes, apprendre de ses expériences, comprendre des langages, interpréter des scènes visuelles et, en général, se comporter d'une façon qui serait considérée comme intelligente chez un humain.
Infrastructures essentielles
Processus, systèmes, installations, technologies, réseaux, actifs et services qui sont essentiels pour assurer la santé, la sécurité et le bien-être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles-ci. La perturbation des infrastructures essentielles pourrait donner lieu à des pertes de vie et à des répercussions économiques néfastes de même qu'ébranler  considérablement la confiance du public.
Cybercrime
Délit commis à l'aide d'un système informatique ou d'un réseau d'ordinateurs ou les impliquant directement. L'ordinateur ou ses données peuvent être la cible du délit ou l'ordinateur peut être l'instrument de perpétration du délit.
Cyberdéfense
Sous-ensemble des activités de cybersécurité. La cyberdéfense peut consister en la capacité technique de découvrir et de détecter les cyberincidents, ainsi que de développer et de déployer des mesures pour y faire face.
Incident cybernétique
Toute tentative non autorisée, fructueuse ou non, en vue d'avoir accès à des ressources ou à des réseaux informatiques, ou de les modifier, de les détruire, de les supprimer ou de les rendre indisponibles.
Cyberrésilience
Capacité d'anticiper, de résister, de se remettre et de s'adapter à des conditions défavorables, des contraintes, des attaques ou des compromis sur des systèmes qui utilisent ou sont activés par des ressources informatiques.
Cybersécurité
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.
Cyberespace
Monde électronique créé par les réseaux interreliés de la technologie de l'information et de l'information qui circule dans ces réseaux. Le cyberespace est un bien commun reliant plus de trois milliards de personnes qui échangent des idées et des services et qui tissent des liens d'amitié.
Cybermenace
Toute circonstance ou événement susceptible d'avoir un impact négatif sur les opérations de l'organisation (y compris la mission, les fonctions, l'image ou la réputation), les actifs de l'organisation, les personnes, d'autres organisations ou la nation par le biais d'un système d'information via un accès non autorisé, une destruction, une divulgation, une modification de l'information et/ou un refus de service
Cryptographie, y compris chiffrement
Ensemble des principes, des techniques et des méthodes de la transformation de données afin d'en préserver le contenu, ainsi que de prévenir les modifications non détectées ou son utilisation non autorisée. La conversion de l'information résultant en cette nouvelle forme protégée fait référence au « chiffrement ». La conversion de l'information à sa forme originale est le « déchiffrement ».
Économie numérique
Toutes les activités économiques qui dépendent de l'utilisation d'intrants numériques, ou sont grandement améliorées par le recours à ces intrants, y compris les technologies numériques, l'infrastructure numérique, les services numériques et les données. Il fait référence à tous les producteurs et consommateurs, y compris le gouvernement, qui utilisent ces intrants numériques dans leurs activités économiques.
Infrastructure numérique
Infrastructure qui possède les services fondamentaux nécessaires aux capacités informatiques d'une nation, d'une région, d'une ville ou d'une organisation.
Pirate informatique
Personne qui utilise des ordinateurs et Internet pour accéder aux données sans autorisation.
Cyberactivité malveillante
Implique l'utilisation, la manipulation, l'interruption ou la destruction non autorisée de, ou l'accès, par des moyens électroniques, à des informations électroniques ou à des appareils électroniques ou à des systèmes et réseaux informatiques utilisés pour traiter, transmettre ou stocker ces informations.
Maliciel
Logiciel malicieux conçu pour infiltrer ou endommager un système informatique sans le consentement du propriétaire. Les formes courantes de maliciels sont les suivants : virus informatiques, vers, chevaux de Troie, logiciels espions et logiciels publicitaires.
Informatique quantique
Un ordinateur quantique peut traiter un grand nombre de calculs simultanément. Tandis qu'un ordinateur classique travaille avec des « 1 » et des « 0 », un ordinateur quantique a l'avantage d'utiliser le « 1 », le « 0 » et des superpositions de « 1 » et de « 0 ». Certaines tâches complexes que les ordinateurs classiques ne pouvaient pas effectuer peuvent désormais être effectuées rapidement et efficacement par un ordinateur quantique.
Rançongiciel
Logiciel malveillant qui empêche une personne ou une organisation d'avoir accès aux fichiers et aux systèmes clés jusqu'à ce qu'une rançon soit versée au cybercriminel. Les rançongiciels impliquent le cryptage, des écrans verrouillés et/ou d'autres méthodes pour empêcher l'accès aux fichiers et extorquer de l'argent aux victimes, comme la fuite de données sensibles en ligne, et les paiements de rançons impliquent souvent des cryptomonnaies.
Menaces à la sécurité du Canada
Espionnage, sabotage ou activités d'influence étrangère qui sont clandestines ou trompeuses et qui nuisent aux intérêts du Canada. Les menaces peuvent également inclure des activités visant, ou appuyant, la menace ou l'utilisation de la violence grave dans le but d'atteindre un objectif politique, religieux ou idéologique ou des activités visant à miner, par des actes illégaux dissimulés, le système de gouvernement constitutionnellement établi au Canada.

Annexe B : Le paysage des cybermenaces

Le paysage mondial des menaces de cybersécurité évolue rapidement. Les incidents liés à la cybersécurité, y compris les incidents importants touchant les infrastructures essentielles, sont de plus en plus nombreux et sophistiqués Note 10. À mesure que de plus en plus d'activités quotidiennes importantes telles que les transactions bancaires, les services gouvernementaux, les services de santé, le commerce et l'éducation se déroulent en ligne, elles deviennent également exposées aux menaces. Dans le contexte actuel de pandémie de COVID-19, cette tendance s'est accélérée, les Canadiens travaillant et socialisant de plus en plus à distance.

Les auteurs de cybermenaces continuent d'adapter leurs activités pour trouver des informations précieuses et tenter de les obtenir, de les détenir contre rançon et/ou de les détruire. Ces incidents menacent de manière disproportionnée la santé, la prospérité et la vie privée des personnes les plus vulnérables de la société canadienne, y compris les personnes âgées et les personnes vivant dans des collectivités éloignées.

Le Cybercentre a identifié cinq tendances de l'évolution du paysage cybernétique et des menaces Note 11.

1. La sécurité physique des Canadiens est de plus en plus menacée

La sécurité des Canadiens dépend de l'infrastructure essentielle, ainsi que des biens de consommation et médicaux, dont bon nombre sont contrôlés par des ordinateurs qui y sont intégrés. De plus en plus, ces ordinateurs sont connectés à Internet par les fabricants pour activer de nouvelles fonctionnalités ou fournir des données à un tiers. Une fois connectés, ces systèmes et ces biens sont exposés aux cybermenaces et le maintien de leur sécurité nécessite des investissements au fil du temps de la part des fabricants et des propriétaires. Comme une grande partie de l'infrastructure essentielle au Canada est détenue et exploitée par le secteur privé, Note 12 ces investissements dans la sécurité, bien qu'essentiels, peuvent être difficiles à maintenir.

Le Cybercentre estime que, de façon presque certaine, la cybermenace la plus urgente pour la sécurité physique des Canadiens concerne la technologie opérationnelle Note 13 et les infrastructures essentielles. En 2021, les Canadiens ont connu d'importants incidents cybernétiques impliquant des infrastructures essentielles, notamment la compromission en octobre 2021 de systèmes essentiels de technologie de l'information qui appuient les fournisseurs de soins de santé à Terre-Neuve-et-Labrador et le retrait temporaire des sites Web et des services de l'Agence du revenu du Canada, du gouvernement du Québec et de Metrolinx-GO Transit en réponse à une vulnérabilité critique identifiée en décembre 2021.

2. Répercussions accrues sur l'économie

Les auteurs de cybermenaces et les cybercriminels parrainés par un État continuent d'entraîner des coûts pour les particuliers et les entreprises canadiennes et de nuire à l'économie. Les cybercriminels escroquent des individus et des entreprises et leur extorquent de l'argent par le biais de rançongiciels, et les auteurs de menaces parrainés par un État volent la propriété intellectuelle et des informations commerciales exclusives Note 14. Au Canada, le coût moyen estimé d'une violation de données (une compromission qui inclut, sans s'y limiter, les rançongiciels) est de 6,35 millions de dollars canadiens Note 15. En 2021-2022, le GNC3 a également reçu plus de 380 signalements de rançongiciels ayant un lien avec des victimes, des infrastructures et/ou des suspects canadiens, ce qui représente une fraction du nombre réel de victimes compte tenu du faible taux de signalement des incidents. Le Centre antifraude du Canada (CAFC) a également été avisé de pertes se chiffrant à 379 millions de dollars déclarées en 2021, soit plus du double des pertes record précédentes de 2020, et 70 % étaient liées à des cyberincidents.

La protection de la propriété intellectuelle est essentielle à la productivité et à la compétitivité des entreprises canadiennes et essentielle à la croissance économique du Canada et à la défense nationale. Certains pays continuent d'utiliser des programmes avancés de cyberespionnage pour obtenir des avantages inéquitables sur le marché mondial et améliorer leur technologie militaire. Le cyberespionnage commercial à l'endroit d'entreprises canadiennes a cours dans divers domaines, notamment l'aviation, la technologie et l'intelligence artificielle, l'énergie et les produits biopharmaceutiques.

3. Un plus grand nombre de données recueillies augmente les risques liés à la protection des renseignements personnels

Les Canadiens génèrent une quantité incroyable de données sur leur emplacement, leurs habitudes d'achat, leur mode de vie, leur santé personnelle et plus encore lorsqu'ils utilisent leurs appareils connectés à Internet. Au fur et à mesure que les Canadiens génèrent, stockent et partagent plus de renseignements personnels en ligne, ces données deviennent vulnérables aux auteurs de cybermenaces par le biais de violations ou d'abus par les entreprises ou les gouvernements étrangers qui les recueillent. Le Commissariat à la protection de la vie privée du Canada a fait état de 680 atteintes à la protection des données, qui ont touché 28 millions de Canadiens au cours de l'année précédant le 1er novembre 2019 Note 16. Ces violations importantes de données révèlent des informations personnelles pouvant être utilisées dans des crimes ultérieurs. Parallèlement, les progrès de la science des données rendent plus difficile le maintien de l'anonymat des données et de la protection de la vie privée.

4. Des outils et compétences informatiques avancés accessibles à un plus grand nombre d'auteurs de menaces

La vente commerciale d'outils informatiques – sur les marchés légitimes et illégaux – jumelée à un bassin mondial de talents, a donné lieu à davantage d'auteurs de menaces et à des menaces plus sophistiquées. L'achat d'outils et de services permet aux cybercriminels d'agir considérablement plus rapidement et leur permet d'utiliser de meilleurs outils. Les auteurs de menaces parrainés par un État recrutent également des expatriés qualifiés, leur offrant des salaires élevés pour développer rapidement leurs programmes nationaux de cybersécurité Note 17. Il est ainsi plus difficile d'identifier les cybermenaces, de les relier à leur auteur et de se défendre contre elles. Pour illustrer l'ampleur et la portée de ce défi, chaque jour, les systèmes de cyberdéfense du CST peuvent bloquer entre 3 et 5 milliards d'actions ciblant les réseaux du gouvernement du Canada. Comme indiqué ci-dessus, les cyberincidents peuvent entraîner l'interruption de services essentiels, le vol d'informations sensibles et des perturbations dans les chaînes d'approvisionnement du gouvernement.

5. Internet à la croisée des chemins

Les adversaires utilisent également l'influence en ligne pour promouvoir leurs intérêts fondamentaux, qui comprennent la sécurité nationale, la prospérité économique et les objectifs idéologiques Note 18. Les activités d'influence étrangère en ligne sont devenues la norme, et les adversaires cherchent à influencer à la fois les événements nationaux, comme les élections, et le discours international lié à l'actualité Note 19. En outre, de nombreux États tentent ardemment de changer l'approche acceptée de la gouvernance d'Internet, de l'approche multipartite existante à une approche de souveraineté étatique qui leur permettrait de suivre leurs citoyens et de censurer l'information.

Date de modification :