Le Canada prend du retard sur ses pairs du G7 en matière de surveillance de la cybersécurité, prévient BlackBerry

Des points de vue opposés sur le projet de loi sur la cybersécurité proposé par le gouvernement libéral pour les fournisseurs d’infrastructures critiques ont été mis en évidence lors d’une audition en commission parlementaire jeudi.

Un responsable de BlackBerry a exhorté les députés du comité de sécurité nationale de la Chambre des communes à adopter Projet de loi-26parce que d’autres pays ont des lois qui confient des responsabilités juridiques en matière de cybersécurité au secteur privé.

« Le Canada est en décalage avec ses alliés les plus proches, et cette législation contribuera à combler cet écart », a déclaré John de Boer, directeur principal des affaires gouvernementales et des politiques publiques de l’entreprise pour le Canada.

Jennifer Quaid, directrice générale du Bourse canadienne des cybermenacesune coopérative d’information sur les menaces, a déclaré qu’avec « quelques petites modifications », le projet de loi contribuerait à renforcer la cybersécurité parmi les fournisseurs d’infrastructures critiques.

Et Chris Loewen, vice-président exécutif pour les affaires réglementaires à la Régie canadienne de l’énergie (CER), qui réglemente les opérateurs de pipelines et d’électricité interprovinciaux, a déclaré que les mécanismes du projet de loi pour les régulateurs seraient similaires à la façon dont la CER fonctionne actuellement.

Mais Francis Bradley, PDG d’Electricity Canada, une association de fournisseurs d’électricité, a averti que la législation proposée pourrait mettre les producteurs d’énergie canadiens en contradiction avec les exigences en matière de cybersécurité de la North American Electric Reliability Corp. (NERC), qui supervise les entreprises américaines et canadiennes.

Leila Wright, directrice exécutive des télécommunications à Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), a déclaré que le projet de loi C-26 donnerait à son agence un nouveau mandat pour promouvoir la cybersécurité parmi les fournisseurs de télécommunications et garantir que les opérateurs se conforment aux ordonnances gouvernementales liées à la cybernétique. Mais elle n’a pas voulu commenter les omissions ou les façons dont le projet de loi pourrait être amélioré, car il s’agit d’un projet de loi. Le travail de la commission, a-t-elle expliqué, consiste à mettre en œuvre la législation qui a été adoptée.

Pour souligner l’importance d’agir, de Boer a noté qu’au cours des quatre derniers mois de 2023, BlackBerry a stoppé 5,2 millions de cyberattaques au nom de clients ; 62 pour cent d’entre eux ciblaient les fournisseurs d’infrastructures critiques (IC) comme les banques et les ministères.

Un rapport Five Eyes cette semaine Le groupe de menace Volt Typhoon, soutenu par la Chine, a déclaré qu’il avait compromis plusieurs fournisseurs d’infrastructures critiques aux États-Unis, a-t-il noté, notamment dans les secteurs des communications, de l’énergie, des transports et de l’eau. Un responsable américain, a-t-il ajouté, craint que le rapport ne soit que « la pointe de l’iceberg ».

Hormis les exigences de protection de la confidentialité des données contenues dans la Loi sur la protection des renseignements personnels et les données électroniques (LPRPDE), le Canada n’a pas de législation obligeant les fournisseurs d’infrastructures critiques à signaler, à se préparer ou à prévenir les cyberattaques, a-t-il déclaré.

En revanche, en 2022, les États-Unis ont adopté le Loi sur le signalement des cyberincidents concernant les infrastructures critiques, obliger les fournisseurs de CI à signaler les incidents de cybersécurité au gouvernement dans les 72 heures. Toujours en 2022, l’Union européenne a adopté une législation obligeant les fournisseurs à mettre en œuvre une cybersécurité de base et à informer les autorités nationales de cybersécurité des incidents graves dans les 72 heures.

« Le Canada est à la traîne par rapport à ses pairs du G7 en matière de cybersécurité », a déclaré de Boer.

Le projet de loi C-26 comporte deux parties : L’une d’elles consisterait à modifier la Loi sur les télécommunications pour donner au cabinet fédéral et au ministre de l’Industrie le pouvoir d’ordonner aux fournisseurs de télécommunications désignés de faire « n’importe quoi » pour protéger leurs systèmes contre une gamme de menaces. Le CRTC aurait un rôle à jouer pour garantir que les fournisseurs de télécommunications respectent la loi.

L’autre partie du C-26, créant la CCSPA, s’appliquerait à d’autres fournisseurs d’infrastructures essentielles. Dans un premier temps, ces activités seraient limitées aux banques, aux sociétés de compensation financière, aux sociétés de transport interprovincial et d’énergie, ainsi qu’aux exploitants d’énergie nucléaire. Semblable aux modifications apportées à la Loi sur les télécommunications, cela créerait un régime de conformité en matière de cybersécurité pour les entreprises désignées. Cela inclurait l’obligation de signaler « immédiatement » les cyberincidents au Centre canadien de la sécurité (CST), la branche du ministère de la Défense responsable de la cybersécurité du gouvernement.

La CCSPA aidera les gouvernements et le secteur privé à partager rapidement des informations sur les cyberattaques, a déclaré de Boer, à avertir et à protéger d’autres victimes potentielles, et à déployer rapidement une assistance pour contenir les dommages causés par les attaques.

Le CCSPA proposé n’est pas parfait, a-t-il déclaré. Il a recommandé trois changements :

— l’obligation pour les fournisseurs d’IC ​​de signaler immédiatement les cyberévénements devrait être modifiée et remplacée par un délai de 72 heures;

— il devrait y avoir des garanties que les entreprises ne pourront pas être poursuivies en justice pour des informations liées à la cybersécurité signalées au gouvernement ;

– et le projet de loi devrait indiquer clairement que les entreprises ne seront pas punies si elles déploient des efforts de bonne foi en matière de cybersécurité, mais que leur entreprise a subi une violation des contrôles de sécurité ou est considérée comme en dehors de la loi.

Quaid a déclaré que le préambule de la CCSPA devrait encourager toutes les organisations publiques et privées canadiennes à partager leurs informations sur les cybermenaces ; devrait permettre aux fournisseurs de CI de partager des informations sur les menaces via des cyber-échanges ainsi qu’avec le gouvernement ; et devrait permettre aux fournisseurs de CI de rejoindre toute association de partage d’informations sur les menaces de cybersécurité.

Bradley s’est plaint que le projet de loi ne reconnaît pas les normes de sécurité établies et l’expertise au sein du secteur énergétique canadien. Entre autres problèmes, a-t-il déclaré, le projet de loi laisse la définition d’un incident de cybersécurité qui doit être signalé à des réglementations qui n’ont pas encore été annoncées. Notre définition doit être la même que celle du NERC, a-t-il déclaré.

Cliquez ici pour voir la présentation écrite d’Électricité Canada

Les exigences de la NERC en matière de cybersécurité – que les membres d’Électricité Canada doivent respecter – sont plus élevées que celles de la CCSPA, a-t-il ajouté. C’est pourquoi il croit que le projet de loi n’améliorera pas la cybersécurité de ses membres de ce côté-ci de la frontière.

Mais Bradley a déclaré que même si la cybersécurité des fournisseurs d’énergie ici est plus élevée que dans d’autres secteurs, la CCSPA contribuerait à combler cette lacune.

Il ne souhaite pas que l’adoption du projet de loi soit retardée, mais estime qu’il devrait être modifié dans certains domaines.

Les audiences reprennent lundi avec les témoignages du commissaire fédéral à la protection de la vie privée Philippe Dufresne, du Bureau du surintendant des institutions financières, de l’Association des banquiers canadiens et de l’Association canadienne des télécommunications.