Notes des comités parlementaires : Protection des cybersystèmes essentiels

Enjeu

Cybersécurité – Loi sur la protection des cybersystèmes essentiels (LPCE), et financement dans le budget de 2019.

Réponse proposée

Les infrastructures essentielles du Canada représentent une cible de choix en matière de cyberactivité malveillante, de vol de données et de propriété intellectuelle et de sabotage, autant de menaces importantes pour notre sécurité nationale, notre stabilité économique et notre sécurité publique.

Le gouvernement du Canada est déterminé à protéger les cybersystèmes qui sous-tendent nos infrastructures essentielles et reconnaît que, plus que jamais, une connectivité sûre et fiable est une nécessité pour notre vie quotidienne et notre sécurité collective.

Le budget de 2019 a alloué 144,9 millions de dollars pour l'introduction d'un nouveau cadre pour les cybersystèmes essentiels afin de protéger les infrastructures essentielles dans les secteurs de la finance, des télécommunications, de l'énergie et des transports sous réglementation fédérale.

Le 14 juin 2022, le gouvernement a introduit la Loi concernant la cybersécurité (LCS), un projet de loi consolidé comprenant à la fois les modifications à la Loi sur les télécommunications mentionnées dans l'énoncé de politique sur la sécurisation du système de télécommunications du Canada et la Loi sur la protection des cybersystèmes essentiels (LPCE).

La partie 2 de la Loi sur la protection des cybersystèmes essentiels (LPCE) établirait un cadre réglementaire afin de soutenir l'amélioration de la cybersécurité de base des services et des systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique, et donnerait au gouvernement un nouvel outil pour répondre aux nouvelles cybermenaces.

Les opérateurs désignés en vertu de la LCS seraient tenus de respecter diverses obligations, notamment l'obligation de :

Le gouvernement disposerait également d'un nouvel outil pour répondre aux nouvelles menaces informatiques intersectorielles. Plus précisément, la LPCE confère au gouverneur en conseil le pouvoir d'émettre des directives en matière de cybersécurité (DSC). Une DSC ordonnerait à un opérateur désigné ou à des catégories d'opérateurs de se conformer à toute mesure énoncée dans la directive afin de protéger un cybersystème essentiel.

Cette loi souligne notre engagement à accroître la cybersécurité du Canada et peut également servir de modèle aux provinces, aux territoires et aux municipalités pour aider à assurer la sécurité des infrastructures essentielles qui ne relèvent pas de la compétence fédérale.

En fin de compte, cette loi renforcera les défenses du Canada contre les cybermenaces et garantira la continuité des services dont les Canadiens dépendent quotidiennement.

Elle protégera les Canadiens, les entreprises et les services et systèmes dont ils dépendent, et ce, pour longtemps.

En cas de questions sur l'impact du cadre sur le secteur privé

Ces nouveaux outils sont conçus pour relever les niveaux de référence en matière de cybersécurité parmi les exploitants d'infrastructures essentielles, assurer leur cohérence et tenir compte des importantes interdépendances entre les secteurs d'infrastructures essentielles.

Il est important de noter que les dispositions de la Loi seront mises en œuvre progressivement et que des consultations seront menées entre les intervenants du gouvernement et de l'industrie au cours de l'élaboration des règlements.

De plus, le financement du Centre canadien de cybersécurité lui permettra de mieux remplir son mandat en continuant à fournir des conseils et des orientations aux propriétaires et aux exploitants d'infrastructures essentielles sur la façon de mieux prévenir les cybermenaces et les vulnérabilités et d'y faire face.

Contexte

Les cybermenaces évoluent, augmentent en fréquence et deviennent plus sophistiquées, avec des conséquences plus dommageables pour l'économie, la sécurité nationale et la sécurité publique du Canada.

Les cyberincidents, comme la mise à jour logicielle non malveillante effectuée par CrowdStrike sur les systèmes Windows de Microsoft en juillet 2024, qui a causé de vastes perturbations dans le secteur bancaire, des transports et des soins de santé, démontrent que de telles menaces contre les infrastructures essentielles peuvent compromettre gravement la sécurité nationale et la sécurité publique. Dans le pire des cas, un incident réussi sur des services et des systèmes vitaux pourrait entraîner des dommages physiques pouvant aller jusqu'à la perte de vies humaines.

Les coûts économiques et sociétaux des cyberincidents et de la cybercriminalité, y compris les rançongiciels, soulignent l'importance de sécuriser les cybersystèmes essentiels du Canada pour protéger les Canadiens, les gouvernements et les organisations afin d'assurer une base solide pour l'économie numérique du Canada.

À cette fin, le gouvernement travaille à la mise en place d'un nouveau cadre pour les cybersystèmes essentiels afin de protéger les infrastructures essentielles du Canada sous réglementation fédérale dans les secteurs des finances, des télécommunications, de l'énergie et des transports. Le budget de 2019 a alloué 144,9 millions de dollars à cette initiative, qui vise à protéger les cybersystèmes essentiels qui sous-tendent les services et les systèmes vitaux sur lesquels les Canadiens comptent.

La LPCE se veut la pierre angulaire pour protéger les infrastructures essentielles du Canada contre les cybermenaces imminentes, notamment les rançongiciels. Des infrastructures essentielles plus sûres et plus résilientes assureront la sécurité et le bien-être des Canadiens, tout en stimulant la croissance et l'innovation, qui sont des moteurs clés de notre reprise économique.

Cette loi améliorerait la capacité des organisations à se préparer à tous les types de cyberincidents, y compris les rançongiciels, à les prévenir, à y répondre et à s'en rétablir. De plus, cette loi peut également servir de modèle aux provinces, aux territoires et aux municipalités pour assurer la sécurité des infrastructures essentielles qui ne relèvent pas de la compétence fédérale.

Date de modification :