:
Bonjour, monsieur le président et membres du Comité.
Je m’appelle Scott Jones. Je suis heureux d’être de retour. Je suis le chef adjoint de la sécurité des TI au Centre de la sécurité des télécommunications et le chef désigné du futur Centre canadien pour la cybersécurité.
Je suis accompagné aujourd’hui de Rajiv Gupta, directeur des Normes, Architecture et atténuation des risques. Merci de nous avoir invités à discuter de ce sujet très important.
[Français]
Le Centre de la sécurité des télécommunications est la principale autorité technique et opérationnelle responsable de la cybersécurité au gouvernement du Canada. On lui a confié le mandat de protéger les renseignements et les infrastructures d'information d'importance pour le gouvernement du Canada.
Cette expertise est l'aboutissement de plus de 70 années d'existence. La protection des communications du gouvernement fait en effet partie de la mission du CST depuis sa création en 1946. À l'époque, le Centre se nommait la Direction des télécommunications du Conseil national de recherches du Canada.
[Traduction]
Il va sans dire que le monde de 1946 était bien différent du monde d’aujourd’hui. Ce qui n’a pas changé, cependant, c’est la nécessité d’un leadership innovateur et compétent pour relever les défis d’un monde en évolution.
Annoncée en juin 2018, la nouvelle Stratégie nationale de cybersécurité du Canada tient compte de cette réalité et reflète la vision du Canada pour la sécurité et la prospérité dans l'ère numérique. La création du Centre canadien pour la cybersécurite, qui sera chapeauté par le Centre de la sécurité des télécommunications, faisait partie des nouvelles mesures proposées dans la Stratégie.
Combinés aux investissements prévus au budget de 2018, ces efforts nous permettront de faire preuve de résilience face aux cybermenaces et de continuer de protéger la sécurité des Canadiens. Et bien des choses valent la peine d'être protégées.
[Français]
Les récentes innovations technologiques ont donné lieu à de formidables occasions d'assurer la croissance économique au Canada. Il ne faut pas sous-estimer les nombreux avantages offerts par la numérisation grandissante de notre société.
Internet a considérablement simplifié la vie des Canadiens. Le gouvernement fédéral offre plusieurs services en ligne. Les investissements prévus au budget de 2018 pour le renforcement des services numériques constituent un signe probant que le gouvernement entend miser sur des technologies nouvelles et innovantes.
Or, pour pouvoir tirer avantage du commerce électronique, les Canadiens doivent être en mesure de mener de telles activités en toute confiance. Les risques ne devraient pas nous dissuader d'adopter les nouvelles technologies, mais être pris en compte et atténués.
[Traduction]
Malheureusement, nous savons tous comment les cybercompromissions peuvent entraîner d'importantes pertes financières, mener au vol de propriété intellectuelle et causer des dommages à la réputation d'une entreprise ou d'un individu. Par exemple, les récentes attaques par rançongiciels ont mis en evidence la menace grandissante que représente la cybercriminalité, de même que les répercussions d'une cybercompromission.
De nos jours, les auteurs de cybermenaces sont animés par de multiples motivations et disposent de capacités diverses. Parmi eux, on retrouve les auteurs parrainés par des États, les hacktivistes et les terroristes capables de commettre une vaste gamme d'activités perturbatrices allant des attaques par déni de service à l'exposition des renseignements personnels.
Le CST joue un rôle essentiel pour ce qui est de les empêcher d'atteindre leurs objectifs. Son expertise lui permet de détecter, d'endiguer et de contrer les graves cybermenaces visant les réseaux et les systèmes du Canada.
[Français]
Les trois clés de son succès sont les partenariats, l'attribution de pouvoirs appropriés et les compétences.
Commençons par les partenariats.
La sécurité, c'est l'affaire de tout le monde. Nos relations avec l'industrie sont primordiales pour protéger le Canada et les Canadiens contre les cybermenaces.
Toutes aussi importantes sont nos relations avec les autres ministères et organismes du gouvernement, notamment Sécurité publique Canada, Services partagés Canada, la GRC et le Service canadien du renseignement de sécurité.
En plus de tisser des partenariats avec le gouvernement et le secteur privé, le CST conclut des partenariats avec des universités et des groupes de recherche de pointe.
[Traduction]
Le Centre canadien pour la cybersécurité améliorera grandement notre capacité de collaborer avec le secteur privé, les autres partenaires du gouvernement et le milieu universitaire, puisqu'il rassemblera les principales unités opérationnelles de cybersécurité du gouvernement du Canada. II proposera une source unifiée de conseils, d'orientations, de services et de soutien spécialisés concernant les questions opérationnelles liées à la cybersécurité. Ainsi, les Canadiens pourront compter sur une source bien établie et fiable de conseils sur la cybersécurité.
II importera également d'assurer la continuité des fonctions assumées par le Centre canadien de réponse aux incidents cybernétiques (CCRIC) de Sécurité publique une fois que ses responsabilités auront été confiées au Centre pour la cybersécurité. Plus particulièrement, un élément essentiel du travail effectué par le CCRIC est d'aviser les victimes advenant une cybercompromission. II s'agit d'un rôle important que nous continuerons d'exercer par l'entremise du Centre pour la cybersécurité.
[Français]
Deuxièmement, j'aimerais parler des pouvoirs du CST.
Comme il a été établi lors des débats sur le projet de loi , le CST conservera son mandat actuel de cybersécurité et d'assurance de l'information et se verra confier, en vertu de la loi proposée, un nouveau pouvoir afin de défendre les réseaux essentiels autres que ceux du gouvernement du Canada.
La Loi sur le Centre de la sécurité des télécommunications qui est proposée permettra également au CST d'échanger des informations concernant les cybermenaces avec les propriétaires de systèmes autres que ceux du gouvernement du Canada de manière à ce qu'ils puissent protéger adéquatement leurs réseaux ainsi que les informations qui y sont conservées. Par exemple, le CST pourra communiquer davantage d'informations sur des cybermenaces précises aux propriétaires d'infrastructures essentielles, comme les entreprises de communications ou le secteur bancaire.
[Traduction]
Enfin, la Loi sur le CST conférera au CST les pouvoirs nécessaires pour prendre des mesures en ligne pour défendre les réseaux importants du Canada et pour arrêter de façon proactive les cybermenaces avant qu'elles n'atteignent ces réseaux. Ces nouveaux pouvoirs permettront d'assurer une protection accrue des renseignements et des réseaux informatiques essentiels contre les compromissions, et de renforcer les mesures de cyberdéfense du Canada.
Troisièmement, les gens. Parmi les nouvelles mesures introduites dans la Stratégie nationale de cybersécurité, on retrouve la nécessité de financer le perfectionnement des compétences canadiennes liées à la cybersécurité. Le CST a la chance de pouvoir compter sur des Canadiens incroyablement brillants et talentueux pour s'attaquer aux enjeux complexes de la cybersécurité. Pour continuer dans cette voie, nous devrons toutefois tirer parti de ces compétences et investir l'exceptionnelle force intellectuelle du Canada dans la cybersécurité.
[Français]
Grâce à de solides partenariats, à l'attribution de pouvoirs appropriés et à un effectif compétent, le CST pourra s'efforcer de contrer les cybermenaces visant le Canada. Par contre, la cybersécurité est la responsabilité de tous. Pour assurer notre résilience, il faudra pouvoir compter sur l'expertise et sur l'esprit d'innovation de chacun d'entre nous.
Nous vous remercions de votre invitation. Nous serons heureux de répondre à vos questions.
:
Merci de votre question.
La première étape est d'établir le centre. Comme vous l'avez dit, c'est une tâche un peu bureaucratique.
[Traduction]
À mon avis, les principales priorités du cybercentre consisteront à établir la confiance et la crédibilité nécessaires pour travailler avec le secteur privé. Nous devons nous faire entendre haut et fort pour accroître nos attentes—dans le secteur privé et gouvernement—alors que nous examinons les défis en matière de sécurité auxquels nous sommes tous confrontés et que nous commençons à avoir des discussions plus ouvertes sur les menaces. Trop souvent, nous nous concentrons sur la menace après et non sur l’activité menaçante et sur la façon d'améliorer notre effort.
La première chose à faire est d’accroître la résilience. La résilience du Canada, en général, est faible. Nous ne parlons pas des choses les plus simples à faire, au moment où nous cherchons à nous défendre contre la menace la plus sophistiquée. En réalité, quelques choses simples peuvent nous permettre d'améliorer notre effort à tous et nous rendre plus immunisés et plus résilients face à des menaces fondamentales comme la cybercriminalité, alors cela peut être aussi simple que de réparer nos systèmes. L’un des premiers objectifs est de communiquer ce message, et d’obtenir des conseils simples et directs que tous les Canadiens peuvent prendre et utiliser.
La deuxième chose à faire concerne évidemment l’établissement d’un centre où, s’il y a un incident, nous sommes capables de gérer la situation. Nous avons fait un certain nombre d’exercices au cours de l’été pour nous assurer que nous sommes prêts à gérer tout incident, qu’il soit important ou petit, de portée internationale ou nationale, au sein du gouvernement fédéral ou dans le secteur privé, pour veiller à être prêts à faire notre part afin de pouvoir, dès le départ, exercer un leadership fédéral, en travaillant avec la victime ou avec d’autres administrations pour nous assurer que nous sommes prêts à gérer un incident.
Je pense que ce sont les deux éléments clés.
:
L'application de correctifs est la toute première, réellement.
La deuxième, suivant l’infrastructure que vous utilisez, est d'éviter à tout prix d’ouvrir une session en tant qu’administrateur, de profiter de super privilèges, etc. C’est tout simple. Cela ne fait que ralentir votre utilisation.
Il y a aussi la sauvegarde de vos données. Sauvegardez toutes vos données cruciales, parce que si un rançongiciel rentre dans votre ordinateur, il vous suffira alors de faire une restauration et de réinsérer vos données, et d'autres petites choses. Je simplifie un peu les choses par rapport à la pratique, mais ce sont des mesures fondamentales sur le plan de la résilience.
Nous avons dressé la liste de nos 10 priorités. Elles s'appliquent surtout aux grands organismes, mais je peux les traduire en mesures personnelles. Il s’agit aussi de déterminer ce que vous trouvez important afin de le protéger, par exemple en faisant des sauvegardes. Pour moi, les photos de famille et ce genre de choses me tiennent à coeur. Honnêtement, je ne me soucie pas d'un courriel que je ne lirai plus jamais et que j'ai reçu dans ma boîte personnelle.