Discours du ministre Sajjan lors du SINET IT Security Entrepreneurs Forum 2016

Notes d’allocution pour l’honorable Harjit Singh Sajjan, Ministre de la Défense nationale

Réseau de l'innovation en matière de sécurité – Forum des entrepreneurs en sécurité des TI

Silicon Valley, Californie

20 avril 2016

Bonjour. Merci pour votre chaleureux accueil. Je suis très heureux de pouvoir m’entretenir avec vous aujourd’hui. Le forum auquel nous participons cette semaine porte essentiellement sur l’innovation en matière de cybersécurité, un sujet capital pour nous tous ici rassemblés, mais aussi, à l’échelle planétaire, pour l’industrie, les gouvernements et le monde universitaire.

Ce matin, je tenterai donc de vous fournir un aperçu de la façon dont le Canada réagit aux difficultés et aux défis qui nous sont posés dans le domaine de la cybersécurité. J’ai également l’intention de vous indiquer dans quelle mesure les partenariats et l’innovation sont devenus des facteurs décisifs. Nous devrons désormais collaborer étroitement.

Quiconque innove dans son coin pour tenter de résoudre seul les problèmes complexes de cybersécurité connaîtra l’échec. Ainsi, il est aisé de comprendre l’intérêt des forums comme celui qui nous rassemble aujourd’hui.

En qualité de ministre de la Défense nationale du Canada, j’ai le privilège de pouvoir compter sur l’un des plus importants des organismes canadiens de renseignement et de sécurité, à savoir le Centre canadien de la sécurité des télécommunications, que l’on nomme également le CST.

Je vous parlerai donc incessamment du rôle capital que le CST joue pour assurer la cybersécurité du Canada.

Mais avant, je tiens à vous dire pourquoi l’aspect informatique est si important pour moi.

C’est après un long parcours professionnel dans les domaines de la sécurité et du renseignement que je suis devenu ministre de la Défense nationale.

À Vancouver, j’ai servi en tant que policier au sein d’une équipe chargée de dossiers portant sur le crime organisé. Et c’est à titre d’officier des Forces armées canadiennes et de spécialiste du renseignement que j’ai pris part à des déploiements en Bosnie et en Afghanistan.

Vous comprendrez donc que tout au long de ma carrière de policier et de militaire, la sécurité de mes collègues et des citoyens canadiens a toujours représenté ma principale préoccupation. Au reste, j’ai constaté, au fil des ans, que la sécurité en général dépendait largement de la sécurisation adéquate des technologies.

Je sais qu’il est essentiel de pouvoir compter sur des dispositifs et des systèmes protégés contre les compromissions, qui seront en mesure de garantir la sécurité des Canadiens et des alliés. Au cours de ma carrière, j’ai compris que ma vie et celle de mes confrères dépendaient directement de la sécurisation des communications.

En outre, la cybersécurité, c’est bien plus qu’une simple question de sécurité. Dans l’absolu, la cybersécurité est gage de prospérité et permet à tout un chacun d’utiliser les technologies en toute confiance. Et le Canada constitue un exemple probant de ce principe.

En effet, le Canada figure parmi les plus grands utilisateurs d’Internet. Plus de 85p.cent des Canadiens sont branchés sur le Net, ce qui représente le pourcentage le plus élevé de la planète. Environ3,5% du PIB canadien est directement lié à l’utilisation d’Internet.

Plus de deux cents services du gouvernement du Canada sont offerts en ligne. Notre commerce, notre industrie du transport, nos contrôles frontaliers et bien d’autres fonctions sont tributaires d’Internet.

C’est donc en arrière-scène que le Web assure un soutien continuel aux services gouvernementaux du Canada ainsi qu’aux entreprises canadiennes. J’imagine que la situation est sensiblement la même ici, aux États-Unis.

Du reste, vous et moi sommes à même de constater l’effet de la sécurité des technologies sur les citoyens de nos pays respectifs, sur les citoyens des pays voisins et sur l’ensemble des collectivités du globe.

Vous connaissez maintenant l’une des raisons pour lesquelles je tenais à être ici, ce matin.

C’est en tant que véritables concepteurs, développeurs et créateurs dans le domaine des technologies de la cybersécurité que vous, les entrepreneurs, êtes les mieux à même de comprendre la nature changeante du monde de l’informatique et de savoir comment il faut se tenir à l’affût des menaces.

De nos jours, nous sommes tous confrontés à des enjeux de sécurité qui ne cessent de se complexifier et de se diversifier. Les rivalités traditionnelles se perpétuent sur la scène mondiale, mais de nombreuses entités non étatiques remettent constamment en question les paradigmes établis.

Par ailleurs, à mesure que les réseaux criminels cherchent à accroître leur sphère de pouvoir, nous voyons apparaître des menaces toujours plus sérieuses et de plus en plus stratégiques. Nous sommes témoins de situations dangereuses empreintes d’extrémisme idéologique, de violence et de crime, de désordres régionaux et de luttes humanitaires, que les États arrivent de moins en moins à contenir.

Au reste, ces nouvelles tendances ne sont pas isolées les unes des autres. Bien au contraire. Trop souvent, elles s’amalgament et finissent par créer des difficultés inédites sur le plan de la sécurité.

L’un des aspects de cette nouvelle dynamique tient au fait que nous tentons de sécuriser un environnement qui est désormais utilisé à des fins pour lesquelles il n’avait pas été conçu à l’origine.

Je ne crois pas vous apprendre quoi que ce soit en vous disant que l’Internet a d’abord été créé pour faciliter la communication entre les chercheurs. Il a d’abord été conçu dans un environnement où les utilisateurs se faisaient mutuellement confiance. À l’époque, il n’était donc pas question de se préoccuper de sécurité.

Ainsi, le travail qui est accompli au Canada, mais aussi dans vos milieux respectifs consiste, d’une certaine façon, en un immense projet de réfection. Depuis l’avènement de la toile mondiale, l’industrie de la cybersécurité tente désespérément de réparer un système qui a initialement été conçu comme un organe ouvert.

Et en accordant la priorité à l’accélération et à la rentabilisation au détriment de la sécurité, nous avons créé un nouveau fardeau pour nos sociétés et pour nos citoyens.

De fait, les risques en matière de cybersécurité s’accroissent à mesure que nous conjuguons logiciel et matériel dans des systèmes de plus en plus complexes.

Au départ, les technologies informatiques semblaient relativement simples et isolées.

De nos jours, de nouvelles technologies sont conçues sur la base d’anciennes composantes couramment utilisées.

Cette stratification de technologies hétérogènes se retrouve dans tous les types de technologies. Qui plus est, elle est souvent à la base du fonctionnement des réseaux Internet, des serveurs, des dispositifs portables, des systèmes de contrôle industriel et des produits de consommation dits intelligents.

En définitive, cette hétérogénéité est constituante des systèmes qui sous-tendent les opérations des gouvernements, des entreprises et des foyers répartis aux quatre coins du globe.

Cette stratification accroît le risque de désuétude de certaines technologies exploitées par des dispositifs, par des systèmes d’exploitation ou par des logiciels. Et ce facteur de désuétude multiplie les vulnérabilités et accroît les risques.

Nous savons tous qu’une attaque informatique qui vise un seul ordinateur peut avoir de graves répercussions sur tout un réseau ou sur une entreprise, voire sur un nombre important d’utilisateurs d’Internet. Et parmi les victimes potentielles, il faut compter, bien entendu, les gouvernements et l’industrie.

La vulnérabilité d’une simple application logicielle a même la possibilité de paralyser les systèmes des plus grandes entreprises.

Il suffit de considérer parallèlement l’ensemble des menaces et des vulnérabilités pour comprendre les risques colossaux qui sont liés aux technologies.

En revanche, nous avons tous constaté l’inestimable apport des technologies dans les divers aspects de la société. À l’évidence, les technologies ont profondément modifié nos méthodes de travail. Elles ont changé nos modes de vie et de divertissement. De fait, elles ont même changé nos modes de pensée.

Compte tenu de tous les enjeux que je viens de citer, le gouvernement du Canada accorde, depuis quelques années, une attention particulière à trois objectifs clés:

Le premier vise la sécurisation des cybersystèmes du gouvernement.

Le deuxième consiste à créer, avec l’industrie et les gouvernements provinciaux, des partenariats dont l’objectif sera de sécuriser les cybersystèmes essentiels qui ne font pas partie des systèmes du gouvernement fédéral.

Le troisième et dernier objectif consiste, pour sa part, à garantir la sécurité des activités que les Canadiens mènent en ligne, ce qui représente un défi de taille.

Comme je le mentionnais plus tôt, je suis responsable du Centre de la sécurité des télécommunications. Cet organisme joue un rôle de premier plan dans la réalisation de chacun de ces trois objectifs.

Les défis liés à la cybersécurité font partie de sa réalité quotidienne.

Depuis près de 70ans, le CST est chargé de garantir la sûreté et la sécurité des Canadiens et de nos alliés. L’organisme collabore étroitement avec ses partenaires de la collectivité des cinq, à savoir les États-Unis, le Royaume-Uni, l’Australie et la Nouvelle-Zélande.

Le CST joue principalement trois rôles:

  • collecter du renseignement électromagnétique étranger;
  • veiller à la protection des réseaux et des systèmes informatiques essentiels pour le gouvernement du Canada;
  • fournir une assistance technique à nos organismes fédéraux chargés de l’application de la loi et de la sécurité.

Au cours des prochaines minutes, je m’attarderai au deuxième rôle, celui qui a trait à la protection des systèmes et des réseaux essentiels pour le gouvernement du Canada.

Tout d’abord, permettez-moi de vous fournir quelques repères historiques. C’est depuis sa fondation que le CST tâche de protéger les informations et les communications importantes et sensibles du gouvernement du Canada.

Ses méthodes de travail ont considérablement changé au fil des ans. L’organisme s’est spécialisé en chiffrement des signaux radio, a été mandaté pour sécuriser les ordinateurs centraux et se spécialise désormais dans la protection des informations canadiennes, surtout depuis le développement fulgurant des technologies Web et des communications par Internet.

Cet essor a littéralement révolutionné le monde des communications et des affaires à l’échelle mondiale.

Pendant les années1990 et 2000, les ministères du gouvernement canadien concevaient et administraient leurs propres infrastructures de TI et de communications, leurs propres systèmes de courrier électronique et leurs propres centres de données.

Cette approche a engendré la multiplication des réseaux et des systèmes: plus de 100systèmes de courrier électronique et plus de 300centres de données, chacun disposant de son propre niveau de sécurité et d’efficacité.

Plus récemment, les effectifs, les ressources technologiques et les infrastructures de TI de 43ministères et organismes fédéraux ont été regroupés à la même enseigne.

Il s’agit là d’une transformation titanesque pour notre gouvernement fédéral. Mais pour le CST, cette profonde transformation a été l’occasion de jouer un rôle important dans la sécurisation de ce regroupement de réseaux.

Depuis lors, nous sommes en mesure de surveiller et de protéger la grande majorité de l’infrastructure réseau du gouvernement du Canada à partir d’un nombre restreint de passerelles dont le CST assure la garde.

Désormais, les passerelles que le CST doit protéger ont passé de quelques centaines à tout au plus quelques-unes. Mais il n’y a pas que le nombre qui a changé. Les méthodes de protection ont également connu de profondes modifications. De fait, le CST a changé ses méthodes du tout au tout. En d’autres mots, il est passé en mode innovation.

Tablant sur ses aptitudes et ses capacités uniques de même que sur un personnel hautement qualifié, le CST s’est concentré sur l’automatisation de ses systèmes de défense. Les capteurs placés sur les hôtes et stratégiquement disposés dans les réseaux ont fini par former la dorsale du système.

Grâce à une diversité de mesures automatisées, nos systèmes de défense réseau détectent et bloquent des millions de tentatives d’intrusion et d’attaques malveillantes visant les systèmes du gouvernement du Canada.

Tous les jours, le CST bloque en moyenne plus de 100millions de balayages prospectifs qui visent à explorer les réseaux du gouvernement du Canada.

Force est de constater que le Canada est passé par une période de profonds changements. Une nouvelle infrastructure gouvernementale de TI. Des approches novatrices en matière de cybersécurité. Des systèmes intelligents réagissant en temps réel.

Tout cela est plutôt impressionnant, mais en fait, quels ont été les résultats de toutes ces initiatives?

Nous connaissons dorénavant les limites de nos réseaux et savons exactement ce que nous devons protéger.

Nous sommes désormais en mesure de contrer les activités malveillantes sans incommoder les utilisateurs du gouvernement. Seuls les auteurs de cybermenaces sentent les effets de nos mesures de sécurité, puisqu’ils ne parviennent pas à percer nos systèmes de défense.

Nous sommes passés d’une approche passive-réactive à une approche dynamique et proactive.

Ce changement de paradigme est remarquable. Mais nous devrons demeurer vigilants.

Aucun système n’est invulnérable. En fait, les systèmes ne sont pas que des amalgames d’entités technologiques. Les personnes, les processus et les procédures font partie intégrante des systèmes.

Les systèmes ne pourront jamais être parfaits. Mais l’approche novatrice que nous avons mise de l’avant permet au gouvernement du Canada de réagir adéquatement aux menaces d’aujourd’hui, mais aussi à celles de demain.

Lorsque nous tenons compte de la pluralité des États, de la prolifération des cybercriminels et de la constante apparition de nouvelles cyberactivités malveillantes, nous comprenons à quel point l’innovation est devenue essentielle.

Mais, comme je l’indiquais au début de mon allocution, l’innovation en cybersécurité ne survient pas d’un coup de baguette magique. Les initiatives novatrices du CST ainsi que les connaissances que celles-ci génèrent ne doivent pas se cantonner à la seule sphère du CST.

Le CST collabore avec ses partenaires nationaux et avec ses alliés de la collectivité des cinq pour favoriser le partage de connaissances avec les partenaires de l’infrastructure essentielle canadienne. Ces partenaires sont notamment les fournisseurs de services, les exploitants de l’industrie ainsi que les gouvernements provinciaux.

Mais les partenariats s’étendent bien au-delà des gouvernements et de l’industrie. Nous travaillons étroitement avec le monde universitaire également. Tout d’abord pour connaître leur point de vue et pour soutenir la recherche et le développement.

Mais aussi pour veiller à ce que les compétences dont nous avons besoin soient enseignées à nos futurs experts en cybersécurité.

Ces partenariats sont indispensables si nous voulons développer intelligemment les mesures de cybersécurité. Qu’il s’agisse de sécurité nationale, de prospérité économique ou de protection de la vie privée des individus, nous avons compris qu’il n’y avait que la collaboration et l’innovation qui permettraient de faire des percées en matière de cybersécurité. Et ces percées ne peuvent être le fruit que de la collaboration et de l’innovation.

La collectivité que nous formons est constamment confrontée à de nouvelles menaces. Et ces menaces sont elles-mêmes, la plupart du temps, les résultats d’initiatives novatrices.

Ainsi, non seulement devrons-nous collaborer, mais nous devrons redoubler d’innovation pour arriver à devancer les initiatives des auteurs de cybermenaces.

Les organismes comme le CST doivent tendre la main à nos partenaires. Et pour moi, les partenaires sont les alliés internationaux, le secteur privé et le monde universitaire, mais aussi les individus comme vous.

Je me plais à imaginer les leaders de l’industrie, les chercheurs et d’autres intervenants clés, travaillant tous ensemble dans le but de développer, d’innover et, ultimement, de veiller à ce que nos citoyens puissent se servir des technologies sécuritairement et en toute confiance.

Il s’agit là d’un engagement que nous prenons très au sérieux et dans lequel nous avons déjà investi beaucoup d’efforts.

Le gouvernement du Canada s’est concentré sur l’établissement de relations solides avec des entreprises que l’on reconnaît d’emblée comme les chefs de file de l’industrie, notamment les entreprises canadiennes de télécommunication. Un choix plutôt évident.

Pas une seule industrie canadienne ne peut se passer des technologies et des systèmes de télécommunication dans la gestion des affaires. Les entreprises des secteurs de l’énergie et des services publics, du secteur financier, du secteur des transports et du secteur de la santé et de l’alimentation ont toutes recours aux télécommunications sécurisées pour assurer leur réussite.

En se fondant sur le travail accompli avec les entreprises de télécommunications, le CST est disposé à partager de l’information capitale sur les cybermenaces avec les entreprises qui seront appelées à se défendre contre ces menaces.

Plus précisément, le CST prendra de l’information classifiée provenant de sources diverses et en déclassifiera certains volets aux fins de partage.

L’intention est de présenter de l’information opportune, pertinente et utile dont on se servira pour protéger les réseaux et les systèmes contre des menaces dont le niveau de sophistication ne cesse de s’accroître.

Les échanges de technologies et de connaissances avec les partenaires de l’industrie permettront d’accroître le niveau de protection et de sensibiliser adéquatement la société canadienne.

Il y a un nombre considérable d’intervenants qui jouent un rôle dans la sécurisation de nos systèmes et dans la protection de nos pays respectifs. Il faut donc préconiser une stratégie avant-gardiste.

Et je ne parle pas seulement des gouvernements. Certes, nous avons un rôle important à jouer, mais les gouvernements ne peuvent être les seuls responsables en matière de cybersécurité.

Lorsque nous envisageons l’avenir, nous devons nous poser de nombreuses questions cruciales; et nous devons absolument répondre à ces questions.

Par exemple, dans quelle mesure et de quelle façon les gouvernements, l’industrie et le monde universitaire peuvent-ils collaborer plus étroitement? Les gouvernements ne sont pas propriétaires des cybersystèmes et des infrastructures dont nos sociétés sont tributaires.

Par conséquent, comment pouvons-nous améliorer notre capacité à identifier et à signaler les cybermenaces et à en informer les autres intervenants, en temps réel?

Dans quelle mesure devons-nous mettre l’accent sur l’amélioration de la sécurisation de nos produits?

Comment devrions-nous gérer les risques qui pèsent sur les divers maillons de la chaîne d’approvisionnement?

Voilà autant de questions auxquelles nous devons réfléchir; et je peux vous affirmer qu’au Canada, nous sommes déjà à la recherche de réponses. Je travaillerai étroitement avec mon collègue, le ministre de la Sécurité publique, qui mènera une étude visant à établir une stratégie de protection des infrastructures essentielles du Canada contre les cybermenaces.

De plus, il y a quelques semaines, j’ai lancé une consultation publique sur les politiques de défense: la plus importante que le Canada ait connue au cours des 20dernières années.

Vous l’aurez deviné, la cybersécurité est un volet essentiel de toute politique de défense. Et ce volet sera analysé en profondeur dans le cadre de cet examen.

Les examens que notre gouvernement entreprend en matière de cybersécurité arrivent à point nommé. Non seulement en raison de l’évolution constante des cybermenaces, mais aussi en considération de la prépondérance de l’Internet pour le Canada… pour notre sécurité... et pour notre économie.

Pour résumer, je me permettrai de réitérer certains faits.

D’abord, le monde de la cybersécurité évolue à un rythme qui dépasse notre capacité collective à le protéger. J’ai abordé la question des vulnérabilités qui sont créées lorsque de nouvelles technologies se fondent sur des technologies désuètes.

Croyez-en mon expérience de policier et de militaire, il est impossible de se prémunir contre ce qui n’est pas défini ou prévu.

Comme les cybermenaces se métamorphosent constamment, il est particulièrement difficile de définir les cybermenaces auxquelles nous serons confrontés.

À mesure que le monde de la cybersécurité évolue et que les outils et techniques de cyberattaque se perfectionnent, nous devrons collectivement trouver de nouveaux moyens de nous défendre…

…contre les menaces que nous n’avons pas encore cernées… contre les menaces qu’il nous est impossible de voir pour l’instant… contre les vulnérabilités qui surgiront sans avertissement.

La production de technologies toujours plus efficaces et abordables ne sera pas le fait d’un seul intervenant et devra prendre en compte le facteur cybersécurité. Sinon, tout le monde s’exposera à d’importants risques.

Pour notre génération, la cybersécurité constitue désormais l’un des plus importants défis à relever. Mais pour les gouvernements, pour l’industrie et pour le monde universitaire, elle constituera une occasion unique de collaborer dans le but de repousser les limites de la technologie.

Comme nous l’avons probablement tous constaté, les échecs dans le domaine de la cybersécurité ont de graves répercussions sur l’économie. Mais l’inverse est tout aussi vrai.

La prospérité économique ne sera garantie que si le développement de la cybersécurité peut tabler sur l’apport conjugué de l’industrie, des gouvernements et des universités.

Le gouvernement devra fournir à ses citoyens des services en ligne qui soient sécurisés et fiables; les entreprises devront se sentir à l’aise de traiter avec leurs clients en toute confiance. Au bout du compte, nous voulons que les individus de nos sociétés disposent des technologies les plus évoluées, lesquelles ne pourront être produites que par une innovation permanente.

C’est grâce au génie novateur et à la collaboration que nous pourrons atteindre les objectifs que nous poursuivons tous.

Voilà donc l’essentiel du message que je souhaitais vous transmettre aujourd’hui. Mais avant de conclure, je tiens à prendre les quelques minutes qu’il me reste pour saluer le travail exceptionnel que les employés du CST accomplissent quotidiennement.

La vigilance et les compétences qu’ils investissent dans la protection de notre cyberenvironnement sont les conditions sine qua non de la réussite de nos efforts d’innovation. Sans cette protection, l’innovation en soi ne produirait que peu de résultats. Non seulement assurent-ils la protection de notre cyberenvironnement, mais ils nous aident à anticiper et à prévenir les effets néfastes des attaques que nombre d’auteurs de cybermenaces lancent contre nos systèmes.

Et la grande majorité du temps, ils réalisent leurs prouesses dans l’ombre, sans reconnaissance aucune. C’est pourquoi, aujourd’hui, je tiens à les remercier sincèrement pour le travail remarquable qu’ils accomplissent.

Au reste, j’espère avoir été en mesure de vous dresser un portrait clair de l’approche canadienne en matière de cybersécurité.

J’espère également vous avoir convaincus de l’importance stratégique de l’innovation et de la collaboration entre les gouvernements, l’industrie et le milieu de la recherche. Travaillons ensemble pour assurer la sécurité et la prospérité de nos pays... et de nos citoyens.

Merci de votre attention.