Documents d'information : Cybersécurité

Sécurité publique Canada (SP, le Ministère) est le ministère responsable de la politique de cybersécurité pour le gouvernement du Canada. Le Ministère collabore avec plusieurs autres ministères et organismes pour accroître la résilience du Canada en matière de cybersécurité, notamment avec le Centre de la sécurité des télécommunications, la Gendarmerie royale du Canada, le Service canadien du renseignement de sécurité, le ministère de la Défense nationale, Innovation, Sciences et Développement économique Canada, Transports Canada, Emploi et Développement social Canada, Ressources naturelles Canada, Finances Canada; Affaires mondiales Canada et le Secrétariat du Conseil du Trésor.

Engagements pertinents énoncés dans la lettre de mandat

Renseignements supplémentaires

Stratégie nationale de cybersécurité

La Stratégie nationale de cybersécurité (SNC, la Stratégie) a été annoncée dans le budget de 2018, dans lequel on lui a réservé 507,7 M$ sur cinq ans et 108,8 M$ par année par la suite. La Stratégie est une initiative horizontale à laquelle participent sept organisations partenairesNotes de bas de page 1 qui exécutent 14 initiatives. La Stratégie a notamment permis la création du Centre canadien pour la cybersécurité (CCC), qui fait partie du Centre de la sécurité des télécommunications (CST), et du Centre national de coordination contre la cybercriminalité (CNC3), qui fait partie de la Gendarmerie royale du Canada (GRC). Ces centres constituent des sources unifiées de conseils, de directives, de services et de soutien d'experts pour les Canadiens en matière de cybersécurité et d'incidents.

En décembre 2021, le premier ministre a donné au ministre de la Sécurité publique le mandat de travailler avec la ministre de la Défense nationale, la ministre des Affaires étrangères et le ministre de l'Innovation, des Sciences et de l'Industrie pour élaborer et mettre en œuvre une nouvelle SNC en collaboration avec les ministres pertinents.

SP a publié les résultats de l'examen de mi-parcours de la SNC de 2018 en juin 2022. L'examen a permis de conclure que bien que la Stratégie produise de bons résultats et que ses objectifs demeurent appropriés, un contexte mondial très différent et un environnement où la menace se fait grandissante obligent le Canada à prendre des mesures fédérales plus rigoureuses pour protéger sa sécurité nationale. Compte tenu des constatations issues de l'examen de mi-parcours, une nouvelle SNC a été élaborée en collaboration avec les partenaires. [CAVIARDÉ]

[CAVIARDÉ]

Projet de loi C-26, Loi concernant la cybersécurité

Le 14 juin 2022, le ministre de la Sécurité publique a présenté le projet de loi C-26 à la Chambre des communes. Le projet de loi comporte deux parties distinctes.

La partie 1, dirigée par Innovation, Sciences et Développement économique Canada (ISDE), vise à modifier la Loi sur les télécommunications afin d'y ajouter la sécurité comme objectif stratégique. Le gouvernement disposera ainsi du pouvoir d'ordonner toute mesure nécessaire pour protéger les systèmes de télécommunications du Canada, dont interdire aux sociétés canadiennes d'utiliser des produits et des services offerts par des fournisseurs à risque élevé. Ce pouvoir est nécessaire pour faire respecter la décision stratégique du gouvernement d'éliminer l'équipement Huawei et ZTE du réseau de télécommunications du Canada.

La partie 2, dirigée par SP, édicte la Loi sur la protection des cybersystèmes essentiels (LPCE), qui prévoit un cadre réglementaire pour appuyer l'amélioration de la cybersécurité de base pour les services et les systèmes relevant de la compétence fédérale qui sont essentiels à la sécurité nationale et à la sécurité publique.

Après avoir été examiné par le Comité permanent de la sécurité publique et nationale (CPSPN) et le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants (CSPSN), le projet de loi a été adopté par le Sénat en sa version modifiée le 5 décembre 2024; il fait actuellement l'objet d'un examen par la Chambre des communes avant de procéder à la sanction royale.

Plan fédéral de réponse aux cyberincidents (PFRC)

Le PFRC est un cadre pour la gestion, par le gouvernement du Canada, des cyberincidents qui touchent des biens qui ne sont pas détenus ou exploités par le gouvernement du Canada, mais qui sont essentiels à la santé, à la sécurité, à la défense ou au bien-être économique des canadiens. Le PFRC est coprésidé par Sécurité publique à titre de responsable de la politique de cybersécurité pour le gouvernement du Canada et par le Centre canadien pour la cybersécurité à titre de responsable technique de la cybersécurité pour le gouvernement du Canada.

Le PFRC prévoit quatre niveaux d'interventions qui déterminent le niveau de coordination requis pour un incident de cybersécurité donné, ainsi que la participation des intervenants et les exigences en matière de rapports. Si un incident de cybersécurité atteint le niveau d'incident grave ou catastrophique (niveau 4) prévu par le PFRC, une transition se fait vers le Plan fédéral d'intervention d'urgence qui décrit les processus nécessaires pour faciliter l'intervention à l'échelle du gouvernement du Canada en cas d'événements graves ou catastrophiques qui touchent les intérêts nationaux, et appuie un mécanisme d'intervention et des dispositions « tous risques ».

Attribution de cyberactivités malveillantes

SP joue un rôle clé dans le cadre d'attribution du Canada, qui est dirigé par Affaires mondiales Canada. Ce cadre est utilisé lorsque le gouvernement du Canada envisage d'attribuer une cyberactivité malveillante à un acteur étatique. SP appuie l'évaluation stratégique d'Affaires mondiales Canada par l'analyse des répercussions nationales afin de déterminer si l'attribution entraînerait un risque excessif pour les infrastructures essentielles, les opérations de renseignement, les enquêtes menées par les organismes d'application de la loi ou d'autres intérêts canadiens. L'attribution publique des cyberincidents tient les acteurs malveillants responsables et fait partie de notre approche globale visant à prévenir les incidents futurs et à promouvoir un comportement responsable de l'État dans le cyberespace. Ces attributions sont souvent faites en coordination avec des partenaires aux vues similaires, et le ministre de la Sécurité publique prend régulièrement part à la publication de telles déclarations d'attribution.

Intelligence artificielle

SP collabore avec divers ministères et organismes pour élaborer des stratégies, des politiques et des initiatives visant à lutter contre les menaces liées à l'intelligence artificielle (IA). SP vise à faire en sorte que le Canada soit préparé à réagir à un éventail de menaces à la sécurité nationale et à la cybersécurité, y compris par l'utilisation de l'IA, et qu'il soit apte à réagir à de telles menaces. SP entreprend une gamme d'initiatives sur les utilisations offensives et défensives de l'IA, y compris l'élaboration d'une politique relative à l'utilisation de l'IA et à la façon dont elle peut être utilisée pour améliorer ou dégrader la cybersécurité. SP examine actuellement la façon dont la technologie de l'IA sera intégrée à la phase d'élaboration de la réglementation pour le projet de loi C-26 afin d'améliorer la cybersécurité dans les infrastructures essentielles.

Rançongiciels

Les rançongiciels constituent la forme de cybercriminalité la plus perturbatrice à laquelle sont confrontés les canadiens. Selon l'Évaluation nationale des cybermenaces la plus récente, le rançongiciel est la principale cybermenace pour les infrastructures essentielles canadiennes. Les répercussions des rançongiciels peuvent être importantes et comprennent souvent des perturbations des activités de bases, des pertes de données, des coûts de récupération importants et même des pertes de vies humaines; par exemple, un système de santé compromis peut mener à l'interruption des soins aux patiens. Bien qu'ils soient criminels, ils constituent également une menace pour la sécurité publique et la sécurité nationale. Par conséquent, SP participe à un certain nombre d'initiatives nationales et internationales visant à atténuer les risques liés aux rançongiciels (p. ex., le groupe de travail sur les rançongiciels, l'Initiative de lutte contre les rançongiciels (ILR)). En septembre 2024, dans le cadre de l'ILR, le Canada a créé un nouveau groupe consultatif public-privé pour conseiller et soutenir les membres de l'ILR dans la lutte contre les rançongiciels. Le Canada coprésidera ce groupe consultatif avec BlackBerry jusqu'à la tenue du sommet de l'ILR de 2025.

Stratégie du Canada pour l'Indo-Pacifique (SIP)

La région indo-pacifique est au cœur d'un certain nombre de priorités du Canada en matière de sécurité nationale et économique. La SIP, dirigée par Affaires mondiales Canada, vise à promouvoir et à défendre les intérêts et les valeurs du Canada en favorisant un Indo-Pacifique plus sûr, plus prospère, plus inclusif et plus durable, et réaffirme le rôle du Canada dans son environnement de sécurité émergent. SP et les organismes de son portefeuille ont des intérêts importants dans le pilier de la défense et de la sécurité de la SIP, qui comprend l'Initiative de cybersécurité et de diplomatie. Cette initiative multiministérielle vise à promouvoir un comportement responsable de l'État dans la cybergouvernance régionale, à renforcer les cybercapacités régionales, à élargir la coopération du Canada avec ses alliés et partenaires, à renforcer la capacité du Canada à protéger la sécurité nationale et l'économie contre les cybermenaces, et à aider le Canada à détecter les opérations d'influence étrangère. Les responsabilités de SP dans le cadre de cette initiative consistent à élargir la coopération du Canada avec ses alliés et partenaires, et à faire connaître les pratiques exemplaires en matière d'élaboration et de mise en œuvre de politiques et de lois sur la cybersécurité au Canada. Des travaux sont actuellement réalisés pour atteindre ces objectifs au moyen d'engagements internationaux et du renforcement des cybercapacités régionales. Les initiatives appuieront également la mise en œuvre de la nouvelle Stratégie nationale de cybersécurité.

Programme canadien de certification en cybersécurité (PCCC)

Le gouvernement du Canada travaille à l'établissement d'un programme de certification en cybersécurité pour l'approvisionnement en matière de défense, qui se traduira par des exigences obligatoires pour certains contrats de défense fédéraux. SP participe aux efforts, dirigés par Services publics et Approvisionnement Canada (SPAC), visant à établir ce programme en réponse au lancement, par le département de la Défense des États-Unis, de la certification du modèle de maturité de la cybersécurité (CMMC). Ce programme permettra au Canada d'établir une base de référence en matière de cybersécurité pour tous les fournisseurs du ministère de la Défense nationale (et, à terme, pour les secteurs autres que la défense). L'établissement de ce programme garantira la protection des renseignements fédéraux non classifiés détenus par les fournisseurs du secteur de la défense du Canada. La mise en œuvre du programme devrait commencer à l'hiver 2025.

Points de vue des intervenants

Les intervenants souhaitent de plus en plus accroître la participation nationale à l'égard des questions de cybersécurité. Une collaboration accrue avec l'industrie, le milieu universitaire et d'autres ordres de gouvernement pour trouver des solutions aux défis de demain en matière de cybersécurité sera essentielle à la réussite. De nombreux secteurs des infrastructures essentielles (IE) relèvent de la compétence des provinces et des territoires et nécessitent une collaboration nationale croissante à mesure que les menaces augmentent. Les provinces, les territoires, de même que les propriétaires et les exploitants d'IE se tournent vers le gouvernement fédéral pour obtenir une orientation et de la collaboration. De plus, comme la cybersécurité est, par sa nature, sans frontières, les alliés et les partenaires internationaux se concentrent de plus en plus sur la collaboration avec SP pour renforcer la résilience nationale et s'assurer que les processus d'élaboration des politiques sont synchronisés, lorsque cela est possible.

Notes de bas de page

Notes de bas de page 1

SP, CST, SCRS, GRC, EDSC, ISDE, RNCan et AMC

Retour à la référence de la note de bas de page 1

Date de modification :