Introduction au Centre de la sécurité des télécommunications (CST)
26 juillet 2023
Lettre de la chef au ministre de la Défense nationale
Monsieur le Ministre,
Félicitations et bienvenue dans votre nouveau rôle de ministre de l’organisme le plus important donc vous n’avez jamais entendu parler : le Centre de la sécurité des télécommunications (CST). Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), responsable opérationnel du gouvernement en matière de cybersécurité, relève du CST.
Dans mon rôle de sous-ministre (chef) pour le CST, j’attends avec intérêt notre collaboration et nos discussions visant à mettre à profit notre expertise pour aider le gouvernement à s’acquitter de ses priorités et de ses engagements. La présente lettre a pour objet de vous présenter brièvement nos priorités actuelles et futures, de même que vos responsabilités à l’égard de nos pouvoirs.
Le CST est le principal organisme opérationnel et technique du Canada en matière de cyberdéfense et de cybersécurité. Nous avons le mandat national de recueillir du renseignement étranger en vue d’appuyer la prise de décision au gouvernement. Le Cabinet établit les priorités en matière de renseignement étranger, mais nous nous assurons de suivre votre orientation afin de garantir que nous concentrons nos ressources où elles auront la plus grande incidence.
Selon notre mandat, nous devons également mener des cyberopérations qui permettent de faire progresser les intérêts canadiens, notamment en relevant certains des défis les plus complexes auxquels le Canada est confronté en matière de défense nationale et de sécurité. Nous travaillons de concert avec nos partenaires de la collectivité des cinq sur les plans du renseignement, de la cyberdéfense et des activités militaires, en plus de prêter main-forte aux membres des Forces armées canadiennes au pays et à l’étranger. En gros, le CST est :
- l’autorité technique nationale en matière de cybersécurité et de protection de l’information secrète du Canada, grâce à des mécanismes de chiffrement robustes;
- l’autorité nationale en matière de renseignement étranger, dont la collecte est réalisée à l’aide du cyberespace (renseignement électromagnétique [SIGINT pour Signals Intelligence]);
- le centre névralgique du Canada pour les cyberopérations et cybercapacités nationales.
Le CST joue un rôle essentiel afin de protéger le Canada et sa population contre une variété de menaces, qui, chaque jour, pourrait comprendre le terrorisme ou l’espionnage étranger, des activités de cybermenace, l’enlèvement de Canadiennes ou Canadiens à l’étranger, des attaques contre les infrastructures essentielles canadiennes et d’autres menaces graves, y compris des cyberincidents. Nos activités aident à assurer la sécurité, la stabilité et la prospérité économique de notre nation.
À court terme, vous devrez prêter une attention particulière plusieurs dossiers prioritaires, notamment :
- l’invasion de l’Ukraine par la Russie : Nous jouons un rôle important pour appuyer la réponse du Canada envers l’invasion de l’Ukraine par la Russie. Notamment, nous avons exposé les efforts continus de désinformation de la Russie et offert un soutien en matière de cybersécurité à l’Ukraine et à la Lettonie.
- l’ingérence étrangère : Les Canadiennes et les Canadiens doivent pouvoir faire confiance aux résultats des processus électoraux démocratiques, et nous agissons dans la mesure que le permet notre mandat, en collaboration avec des partenaires du secteur de la sécurité nationale pour protéger les Canadiennes et Canadiens et les sensibiliser à cette grave menace.
- les cyberopérations étrangères : Nous prenons des mesures en ligne afin de contrer et d’interrompre les menaces étrangères et faire progresser les intérêts canadiens sur les plans des affaires internationales, de la défense, de l’économie ou de la sécurité. En 2022, la ministre de la Défense nationale a accordé quatre (4) autorisations ministérielles sur les cyberopérations étrangères.
- le renouvellement de la Stratégie nationale de cybersécurité (SNCS) : Nous cherchons à appuyer le renouvellement de la Stratégie nationale de cybersécurité, laquelle détaillera la manière dont le gouvernement peut collaborer avec l’industrie, la population canadienne et les autres ordres de gouvernement afin que le Canada soit un des endroits les plus sécuritaires où vivre et travailler en ligne.
De plus, nous appuyons les priorités du gouvernement dans le cadre de la mission de renseignement étranger du CST, car nous fournissons du renseignement opportun, pertinent et utile à vos collègues du Cabinet et vous sur les priorités, les enjeux stratégiques et les crises émergentes. Par exemple, vous pouvez vous attendre à ce que le CST produise du renseignement étranger portant sur la défense du continent, les enjeux liés à la mise en œuvre de la stratégie indopacifique du Canada et la protection de la souveraineté des territoires canadiens.
Le budget de 2022 a alloué d’importants fonds au CST, soit 852,7 millions de dollars sur cinq ans et 218,3 millions de dollars par année suivante, afin d’accroître ses capacités. Ces fonds nous aideront à répondre à la demande croissante pour nos services liés au renseignement et à la cybersécurité. Le CST joue un rôle essentiel dans la mise à jour de la politique sur la défense, notamment en mettant sur pied les capacités nationales de cyberopérations.
Depuis plus de 75 ans, le CST est l’organisme national de cryptologie, qui génère et casse des codes. Notre passé nous prépare bien pour l’avenir. En réalité, la technologie en tant que telle fait de plus en plus l’objet de concurrence étatique et entraînera de nouvelles vulnérabilités pour nos citoyens et nos entreprises. Nous avons le talent et le savoir pour soutenir le gouvernement dans cette ère de changements technologiques constants et rapides.
La cybersécurité est devenue un enjeu pansociétal et une préoccupation croissante. Ces cybermenaces sont fréquemment dirigées contre les réseaux des infrastructures essentielles et les technologies dont on se sert pour faire fonctionner les secteurs essentiels. Si les tendances passées se maintiennent, nous ne tarderons pas à vous informer sur un cyberincident touchant le gouvernement ou les infrastructures essentielles du Canada. Votre engagement actif au sein de l’industrie canadienne nous aidera à offrir une sensibilisation accrue quant aux cybermenaces et à encourager les exploitants d’infrastructures essentielles à collaborer avec nous, à prendre des mesures et à se protéger.
Fort de sa main-d’œuvre spécialisée et diversifiée, de ses installations de pointe modernes, de ses récents investissements et de ses nouveaux pouvoirs, le CST est dans une position unique pour soutenir le programme global du gouvernement. En outre, vous constaterez sans aucun doute que le CST exécute son mandat à l’appui de l’engagement du gouvernement à l’égard de l’innovation, de la transparence, de la diversité et de l’inclusion.
C’est en faisant preuve d’un grand sens des responsabilités que nous avons obtenu notre mandat actuel : nous avons prouvé notre utilité au fil des décennies, avons réussi à mener des opérations secrètes sans qu’elles soient attribuées au Canada et avons accordé une grande importance au respect de la loi et de la vie privée. Nous avons tâché de gagner la confiance de la population canadienne.
Nous avons cultivé les relations précieuses que nous entretenons depuis longtemps avec nos principaux alliés et tissé des partenariats avec le secteur privé et le milieu universitaire du Canada. En ce qui a trait aux indicateurs internationaux de cyberpuissance, le Canada fait très bonne figure, notamment grâce à ses moyens de cyberdéfense et à sa capacité de production de renseignement sur les cybermenaces.
À votre convenance, je serai heureuse de vous inviter à visiter les édifices des campus du CST pour observer le travail exceptionnel que le CST effectue en tant qu’organisme relevant de la Défense nationale.
Au plaisir de collaborer avec vous, monsieur le Ministre, et de contribuer à la réalisation des engagements de la plateforme de votre gouvernement et des priorités énoncées dans votre lettre de mandat.
Veuillez agréer mes sincères salutations,
Caroline Xavier (elle)
Chef
Centre de la sécurité des télécommunications
Le CST en bref
Format de rechange : Coup d’œil sur le CST (PDF, 8344 Ko)
À titre de ministre de la Défense nationale, vous êtes responsable du Centre de la sécurité des télécommunications et êtes justiciable des rôles qu’il tient sur le plan national dans les sphères d’activités suivantes :
Cybersécurité : Le CST assure la défense active des réseaux du gouvernement canadien et contribue à la protection d’autres réseaux que vous désignez comme étant importants pour le gouvernement. À plusieurs égards, le CST tient un rôle de leader national, notamment par l’entremise de son Centre canadien pour la cybersécurité et de l’équipe d’intervention en cas d’urgence informatique (CERT).
Renseignement étranger : Le CST constitue le principal fournisseur de renseignement étranger pour les clientes et clients du gouvernement et agit en qualité d’autorité nationale en matière de renseignement électromagnétique. Les activités de renseignement étranger sont orientées en fonction des priorités établies par le Cabinet.
Cyberopérations étrangères : Le CST exerce un large éventail de fonctions en matière de cyberopérations étrangères visant à soutenir le Canada dans des domaines comme les affaires internationales, la défense et la sécurité, y compris la cybersécurité. Les capacités techniques et l’expertise opérationnelle du CST sont également mises à profit pour appuyer le MDN/les FAC, le SCRS et la GRC lorsque ces organismes mènent des cyberopérations conformément à leurs mandats respectifs.
Notre équipe
Le personnel
- L’effectif du CST est composé de 3 232 employées et employés permanents à temps plein.
- Le CST a figuré parmi les meilleurs employeurs pour les jeunes au Canada de 2017 à 2023, et parmi les meilleurs employeurs de la région de la capitale nationale en 2023.
- Dans le plus récent Sondage auprès des fonctionnaires fédéraux, le CST s’est mieux classé que le reste de la fonction publique sur le plan de l’innovation (de 21 %), de la fierté à l’égard du travail (de 5 %) et de la santé psychologique au travail (de 10 %).
- L’effectif du CST continue d’être plus inclusif et diversifié : 28,8 % sont des femmes, 1,7 % des membres de communautés autochtones et 11,8 % des personnes handicapées. Le CST continue de collaborer avec ses partenaires internes et externes grâce à des activités de recrutement adaptées, des initiatives sur l’avenir du travail et des efforts de promotion de l’EDI.
Budget
- Le budget total du CST pour 2022-2023 était de 948 millions de dollars.
Notre mission
Nous sommes le renseignement étranger
- Nous vous permettons – ainsi qu’aux autres ministres du Cabinet – d’exercer une partie importante de votre mandat lorsque nous prêtons assistance aux missions militaires canadiennes à l’étranger, lorsque nous fournissons de précieux renseignements concernant des enjeux d’envergure mondiale et lorsque nous décelons les menaces issues de l’étranger, notamment les complots d’extrémistes qui envisagent de s’attaquer aux intérêts du Canada ou les cybermenaces qui pèsent sur les réseaux canadiens.
Nous sommes la cybersécurité
- Nous avons mis en place des mécanismes de défense de classe mondiale pour protéger les réseaux du gouvernement canadien, ce qui nous permet, notamment, de bloquer chaque jour plus d’un milliard de tentatives de cyberactivités malveillantes. Nous sommes autorisés à mettre à profit notre expertise afin de protéger les infrastructures essentielles du Canada. Nous prodiguons des conseils et de l’orientation sur mesure à un nombre important d’entités canadiennes au sujet de certaines menaces; nous aidons à intervenir en cas d’incident majeur; et nous sensibilisons le public grâce à notre programme d’approche communautaire et à nos campagnes nationales pour la cybersécurité.
Nous fournissons des conseils fiables
- Nous fournissons une assistance technique et opérationnelle au MDN/aux FAC, au SCRS et à la GRC dès lors que ces organismes font appel à nos capacités uniques et à notre expertise sans égal, ce qui évite les chevauchements et accroît la rentabilité des opérations. Toute assistance est prêtée en vertu des autorisations de l’organisme demandeur et est assujettie aux restrictions s’appliquant à cet organisme demandeur.
- Nous travaillons avec un large éventail de partenaires (industrie, universités, provinces et territoires, organismes alliés) dans le but de promouvoir la cybersécurité et de protéger les infrastructures essentielles. À titre d’exemple, sous la férule du Programme d’examen de la sécurité du CST, nous travaillons en collaboration avec les fournisseurs de services de télécommunications et avec des laboratoires privés (y compris Huawei) dans le but d’atténuer les risques liés à la conception des équipements et des services sans fil.
Notre façon de faire
Expertise technologique de pointe
- C’est au CST que l’on retrouve la plus importante concentration de superordinateurs au Canada. C’est également le CST qui chapeaute l’Institut Tutte pour les mathématiques et le calcul, un établissement Très secret de calibre mondial.
- Le CST fait figure de leader éclairé et de pionnier dans les domaines des nouvelles technologies numériques et de la cybersécurité, grâce notamment à son programme de recherche axé sur la cryptographie quantique, des procédures analytiques avancées, du soutien aux opérations secrètes et de la détection des campagnes menées par les auteures et auteurs malveillants parrainés par des États. L’expertise du CST permet notamment d’alimenter les politiques du gouvernement en matière de nouvelles technologies – pensons notamment à la 5G, à l’intelligence artificielle ou à l’informatique quantique.
Pouvoirs juridiques et capacités
- On s’attend à ce que la Loi sur le CST soit révisée (le moment de l’examen reste à confirmer).
Engagement auprès d'intervenantes et d'intervenants clés
- Le CST est un partenaire de confiance qui contribue activement aux efforts de la collectivité des cinq. En retour, le CST est en mesure de tirer parti d’informations, de capacités
- et d’un savoir-faire dont les praticiennes et praticiens de la cryptologie au Canada ne pourraient disposer en d’autres circonstances;
- rapports de renseignement étranger du CST pour l’année 2022-2023 : 3007 rapports, 1774 clients, 27 ministères et organismes
- Le CST collabore avec le secteur privé pour favoriser le développement de nouvelles solutions.
Principaux faits sur le CST
CST - Principaux faits
- Les pouvoirs du CST dans le budget 2022-2023 totalisent 948 millions de dollars.
- Depuis 2014, le CST et le gouvernement du Canada ont officiellement attribué 12 cyberincidents à des auteures et auteurs de menace parrainés par des États-nations et affiliés à des États.
- Les outils de défense automatisés du CST protègent le gouvernement du Canada contre plus de 6 milliards d’activités malveillantes par jour.
- Autorisations de cyberopérations étrangères : En 2022, la ministre de la Défense nationale a accordé 4 autorisations de cyberopérations étrangères (3 cyberopérations actives et 1 cyberopération défensive).
- Autorisations de cybersécurité : En 2022, la ministre de la Défense nationale a accordé 3 autorisations d’opérations de cybersécurité (1 fédérale et 2 non fédérales).
CST - Effectif
- En date du 31 mars 2023, le CST comptait 3 232 employées et employés à temps plein.
- Le taux d’attrition du CST des 7 dernières années se situe entre 3,8 % et 4,7 %. Ce taux demeure plus bas que la moyenne de l’industrie, surtout dans le domaine de la technologie. Nous estimons que le faible taux d’attrition est attribuable à l’environnement de travail positif, au perfectionnement du personnel et aux programmes de soutien offerts.
- La satisfaction des membres de l’effectif demeure élevée, et le CST a été nommé comme un des meilleurs employeurs parmi les principaux organismes fédéraux du Canada dans le Sondage auprès des fonctionnaires fédéraux (SAFF) de 2020. Selon les résultats de 2020, 89 % des employées et employés du CST sont fiers du travail qu’ils font et 90 % sentent que les personnes avec lesquelles ils travaillent valorisent leurs idées et leurs opinions.
- Le CST a fait partie de la liste des meilleurs employeurs en 2020, en 2021, en 2022 et en 2023. Depuis sept années consécutives, il est aussi nommé parmi les meilleurs employeurs pour les jeunes du Canada.
- Nous continuons de recevoir entre 10 000 et 15 000 candidatures par année.
CST - Examens externes
- Année financière 2022-2023 : Le CST a contribué à 22 examens externes (17 de l’OSSNR, 4 du CPSNR et 1 du rapporteur spécial indépendant).
Statistiques du Centre pour la cybersécurité et de l’industrie
- Communiquez avec le Centre pour la cybersécurité par téléphone au 1-833-CYBER-88 ou par courriel à l’adresse contact@cyber.gc.ca.
- En date de mars 2023, 72 institutions fédérales ont déployé nos capteurs au niveau du nuage.
- En date de mars 2023, 85 institutions fédérales ont déployé nos capteurs au niveau de l’hôte sur plus de 860 000 hôtes.
- Année financière 2022-2023 : Cette année, le Centre pour la cybersécurité a ouvert 2 089 dossiers d’incident de cybersécurité. Ce nombre représente une moyenne de 5,5 incidents par jour. Parmi ces cas, 957 incidents visaient des institutions fédérales et 1 132 ciblaient des infrastructures essentielles.
- Aventail est le service de diffusion automatisé de renseignements sur les menaces du Centre pour la cybersécurité. Il met à la disposition des partenaires des infrastructures essentielles de l’information pertinente et vérifiée sur les indicateurs de compromission extrêmement rapidement. En 2022-2023, Aventail a transmis 37 000 indicateurs de compromission uniques, soit un peu plus de 100 indicateurs par jour.
- Les flux de menace d’Aventail ont été transmis à 152 partenaires (132 partenaires des infrastructures essentielles et 20 institutions fédérales).
- Le Bouclier canadien de l’Autorité canadienne pour les enregistrements Internet (ACEI) est un service gratuit qui sert à protéger la vie privée des Canadiennes et Canadiens lorsqu’ils mènent des activités sur leurs réseaux domestiques et leurs dispositifs personnels. Il s’agit en outre d’une option qui permet de bloquer les menaces en empêchant les utilisatrices et utilisateurs de se connecter par inadvertance à des sites malveillants connus. Le Centre pour la cybersécurité communique son flux automatisé de renseignements sur les menaces à l’ACEI; toute menace détectée par le Centre sera ainsi bloquée par le Bouclier canadien.
- En date du 31 mars 2023, plus de 290 000 personnes se sont inscrites aux services de blocage des menaces du Bouclier canadien, qui ont permis de bloquer plus de 215 millions d’activités cette année (année financière 2022-23).
- Rapports publics du Centre pour la cybersécurité en 2022-2023 :
- 737 bulletins
- 51 publications contenant des avis et de l’orientation
- 21 alertes
- 14 cyberflashs
- 4 rapports et évaluations
Structure organisationnelle
Chef
Caroline Xavier
- Dirigeant principal, Centre canadien pour la cybersécurité
Sami G. Khoury - Dirigeant associé, Centre canadien pour la cybersécurité
Rajiv Gupta - Chef adjoint, Technologies et solutions d'entreprise
Darrell Schroer - Chef adjoint, Services centreaux
Hugues St-Pierre - Chef adjoint, Pouvoirs, conformité et transparence
Nabih Eldebs - Chef adjointe, Politiques stratégiques, planification et partenariats
Wendy Hadwen - Chef adjointe
Alia Tayyeb - Directrice générale, Audit, évaluation et éthique
Eliane Turner - Avocate générale et directrice executive, Services juridiques
Manon Lefebvre - Directeur général, Affaires publiques et services de communications
Christopher Williams
Entrevue du 24 juin 2023 de la chef Caroline Xavier à "The House" de CBC
The House avec Catherine Cullen à CBC Radio : Inside Canada’s secretive cyber-spy agency (en anglais seulement)
Diffusé le 24 juin 2023
Contexte : La chef Caroline Xavier a participé à l’émission The House de CBC Radio pour discuter des menaces qui pèsent sur les infrastructures essentielles, en particulier de la nouvelle évaluation des menaces du Centre pour la cybersécurité dans le secteur pétrolier et gazier. L’entrevue a eu lieu en appui à la séance d’information classifiée présentée au secteur de l’énergie le 21 juin 2023.
Transcription
Catherine Cullen (The House de CBC) : L’idée que les auteures et auteurs de menace parrainés par des États sont déjà en train de mettre en place des capacités qui leur permettraient de possiblement saboter des infrastructures, comme celles du secteur pétrolier et gazier est l’un des aspects remarquables dans votre rapport. Dans un sens, je comprends qu’ils font déjà du repérage. À quel point cette situation est-elle préoccupante?
Caroline Xavier (chef du CST) : C’est très préoccupant. Et, j’aime que vous ayez utilisé l’expression faire du repérage, car c’est un bon terme que la majorité des Canadiennes et Canadiens comprendront. Le rapport de cybermenaces que nous avons publié, et nous en parlons déjà depuis quelque temps, nous sentions qu’il était important de le publier maintenant, car il découle, ou fait un résumé, de toute une série d’avis et de conseils que nous avons publiés à l’attention particulière des exploitants d’infrastructures essentielles. Mais en particulier à l’attention du secteur de l’énergie, le secteur pétrolier et gazier.
Donc, en effet, notre évaluation établit que des gens surveillent les infrastructures essentielles tout particulièrement, en tant que cible potentielle, dans le but de peut-être… entraîner des interruptions. Interruption des chaînes d’approvisionnement, interruption de la distribution de gaz. Mais, plus vraisemblablement d’un point de vue opportuniste, à la recherche de vulnérabilités permettant possiblement d’entraîner des interruptions de nature économique ou des atteintes à la réputation.
Cullen : La citation suivante est particulièrement marquante selon moi : « Il est difficile d’exagérer l’importance du secteur pétrolier et gazier pour la sécurité nationale ». Je sais que le rapport n’en parle pas comme si un événement surviendrait dès demain, mais aidez-moi à comprendre quelles seraient les conséquences d’une attaque réussie pour les Canadiennes et les Canadiens.
Xavier : Écoutez, on parle du pétrole et du gaz. Imaginez si la pression monte dans un réseau de distribution d’essence, elle pourrait entraîner une explosion. Ce pourrait être extrêmement dommageable pour un quartier, par exemple, ou les personnes aux alentours. On peut prendre l’exemple de ce qui s’est passé aux États-Unis dans le cas de Colonial Pipe en 2021 — mai 2021. Dans ce cas, on a vu que les répercussions que peut avoir un événement dans les infrastructures essentielles sur la population qui ne parvenait pas à faire le plein. Et d’autres secteurs de l’industrie et d’autres parties de la ville en ont également subi les conséquences. Donc, nos infrastructures essentielles nous aident beaucoup afin d’approvisionner toute sorte d’autres secteurs. Pensons par exemple à l’électricité, au réseau de santé. Les infrastructures essentielles touchent une multitude de secteurs, pas seulement le secteur pétrolier et gazier. Le secteur pétrolier et gazier est fondamental à bien d’autres éléments dont nous avons besoin pour survivre ou dont nous dépendons.
Cullen : Les gens vont entendre ce que vous dites et trouver que c’est assez préoccupant. Je sais que vous rencontriez des leaders de l’industrie cette semaine. Est-on prêt à réagir? Où doit-on en être?
Xavier : Nous sommes constamment en contact avec diverses parties prenantes au sein des secteurs des infrastructures essentielles. Nous organisons périodiquement des rencontres avec les secteurs, parce que nous souhaitons être en mesure de nous attarder sur de l’information précise avec eux. Nous avons des initiatives de collaboration précises avec le secteur pétrolier et gazier, ainsi que le secteur de l’électricité. Elles reposent sur la collaboration et l’engagement continus que nous entretenons avec eux. Ils apprécient ces rencontres en tant que communauté et secteur, car c’est une bonne occasion pour eux d’apprendre les uns des autres, de prendre connaissance de ce qu’on leur communique et de découvrir des pratiques exemplaires. Nous renforçons ces partenariats pour que, si on fait appel à nos partenaires pour une raison ou une autre, d’une part, ils sachent qui nous sommes et qu’ils répondent à l’appel, et d’autre part qu’ils reconnaissent que ces avis, ceux que nous donnons, valent la peine d’être écoutés. C’est notre devoir collectif, en tant que partenaire et en tant que groupe de collaborateurs, d’instaurer ensemble une résilience face aux cybermenaces.
Le gouvernement ne peut pas réaliser cette tâche seul, le Centre de la sécurité des télécommunications ne peut pas réaliser cette tâche seul et le Centre pour la cybersécurité ne peut pas réaliser cette tâche seul. Nous avons besoin que les parties prenantes du secteur privé soient bien engagées.
Et, pour moi, quand nous communiquons avec des cadres en particulier, je veux que ces gens-là reconnaissent que la discussion ne peut pas seulement se tenir avec les dirigeantes principales ou dirigeants principaux de l’information, ou encore les dirigeantes principales ou dirigeants principaux de la sécurité de l’information. Les cadres aussi doivent s’en soucier.
Cullen : Nous lisons les manchettes concernant des attaques contre les systèmes de santé. La semaine dernière, une cyberattaque mondiale a touché un établissement de santé bien connu des États-Unis, l’hôpital Johns Hopkins, en raison d’une vulnérabilité dans un logiciel courant. Comment peut-on se protéger contre un tel événement, en particulier considérant ces attaques, à première vue, sans relâche? Est-ce juste un jeu du chat et de la souris?
Xavier : En gros, une de nos tâches importantes au Centre pour la cybersécurité consiste à donner des conseils fondamentaux aux gens. Suivez les conseils de base, les 10 conseils les plus importants, ou les directives que nous présentons sur notre site Web, cyber.gc.ca. Le simple fait de suivre ces conseils constitue déjà une bonne protection de base.
Si on parle de de l’initiative « Patch Tuesday », ou de combler les lacunes dans les systèmes dans lesquels vous avez établi qu’une personne a pu trouver une vulnérabilité et de les mettre hors service immédiatement, il faut prendre ça au sérieux. Des tentatives d’hameçonnage et des courriels malveillants pourraient s’introduire dans votre organisme, donc il est important de porter une attention particulière à la provenance, la reconnaissez-vous, etc. Nous ne disons pas ça pour le plaisir. Un seul clic peut changer la donne et vous transporter dans une situation inattendue.
Cullen : On dirait que vous laissez sous-entendre qu’il n’y a pas suffisamment d’oreilles à l’écoute.
Xavier : J’aimerais dire que ce que nos paroles sont toujours suivies, mais la réalité est que nous ne pouvons pas arrêter de les prononcer et que nous devons continuer de les répéter aussi souvent que possible, car la résilience en matière de cybersécurité, c’est un enjeu de société.
Le gouvernement ne peut rien y faire seul, c’est la responsabilité de chacune et chacun d’entre nous.
Discours du 28 octobre 2022 de la chef Caroline Xavier devant le Cercle canadien d’Ottawa
Materiel de référence additionnels
Loi sur le CST
Guide éclair sur la Loi sur le CST
Format de rechange : Guide rapide sur le CST (PDF, 3412 Ko)
Renseignement étranger (Article 16, Loi sur le Centre des télécommunications)
Mandat
- Les activités ne doivent pas viser ni les Canadiens ni les personnes se trouvant au Canada et ne doivent pas aller à l’encontre de la Charte canadienne des droits et libertés.
- Activités exigeant une autorisation ministérielle (AM) : Les AM protègent le CST lorsque ses activités contreviennent à d’autres lois du Parlement (*ou de tout autre État étranger en ce qui concerne le renseignement étranger, les COD et les COA seulement); ou lorsque ses activités portent atteinte à une attente raisonnable de protection en matière de la vie privée d’un Canadien ou d’une personne au Canada.
Conditions
- Les activités doivent être raisonnables, nécessaires et proportionnées.
- L’information non sélectionnée ne pourrait raisonnablement par être acquise autrement.
- Des mesures sont en place pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
- L’information jugée comme se rapportant à un Canadien ou à une personne se trouvant au Canada sera utilisée, analysée ou conservée uniquement si elle est essentielle :
- à la défense, à la sécurité ou aux affaires internationales
- pour repérer, isoler, prévenir ou atténuer les activités dommageables visant les systèmes d’importance
- Mesures pour protéger la vie privée
- Politiques, formation, conservation, suppression, approbations de la gestion, LCA, vérifications, examens, DSJ, D2
- Une information nominative sur un Canadien peut seulement être divulguée à des personnes ou à des catégories de personnes définies, si la divulgation est essentielle à la défense, à la sécurité, à la cybersécurité ou aux affaires internationales.
- Une information relative à des Canadiens ou à des personnes se trouvant au Canada peut être divulguée aux personnes ou aux catégories de personne définies, si la divulgation est nécessaire à la protection des systèmes d’importance.
Exceptions
- Utilisation d’information accessible publiquement qui a été publiée ou diffusée à l’intention du grand public, qui est accessible au public dans l’IMI ou ailleurs, ou qui est accessible au public sur demande, par abonnement ou achat (ne comprend pas l’information pour laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée)
- Mise à l’essai ou évaluation de produits, de logiciels et de systèmes afin de trouver des vulnérabilités
- Analyse de l’information et prestation de conseil concernant les investissements étrangers au Canada à l’intention des ministres de SP et d’ISDE aux termes de la Loi sur Investissement Canada
- Acquisition, utilisation, analyse, conservation ou divulgation d’information sur l’infrastructure à des fins de recherche et de développement ou de mise à l’essai de systèmes ou de conduite d’activités de cybersécurité et d’assurance de l’information au sein de l’infrastructure à partir de laquelle celle-ci a été acquise
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités au sein des infrastructures de l’information pour repérer, isoler, prévenir ou atténuer les activités ou les conséquences des maliciels sur l’infrastructure
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités de recherche et de développement pour offrir des avis et des conseils sur l’intégrité des chaînes d’approvisionnement et sur la fiabilité de l’équipement, des services et des communications électroniques
Approbations
- Approbation par le ministre de la défense nationale : Le MND doit avoir des motifs raisonnables de croire que les conditions énoncées dans la loi sont respectées, notamment que les activités de renseignement étranger et de cybersécurité sont raisonnables, nécessaires et proportionnées et que les activités relatives aux COD et aux COA sont raisonnables et proportionnées.
Surveillance
- Approbation par le commissaire au renseignement (CR)
- Le CR doit être convaincu que les conclusions ministérielles sont raisonnables.
- Le CR approuve les AM du CST avant que le CST mène des opérations en vertu de celles-ci.
Examen
- Office de surveillance des activités en matière de sécurité nationale (OSSNR)
- Examiner toutes les activités du CST ainsi que toutes les activités relatives à la sécurité nationale qui sont menées à l’échelle du GC;
- Examiner les activités du CST pour veiller à leur conformité aux lois et aux directives ministérielles, de même que le caractère raisonnable et la nécessité que le CST exerce ses pouvoirs;
- Enquêter sur les plaintes contre le CST.
- Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
- Examiner les activités du CST qui concernent le renseignement ou la sécurité nationales, y compris les mesures mises en place par l’organisme pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
Cybersécurité et assurance de l’information (Article 17, Loi sur le Centre des télécommunications)
Mandat
- Les activités ne doivent pas viser ni les Canadiens ni les personnes se trouvant au Canada et ne doivent pas aller à l’encontre de la Charte canadienne des droits et libertés.
- Activités exigeant une autorisation ministérielle (AM) : Les AM protègent le CST lorsque ses activités contreviennent à d’autres lois du Parlement (*ou de tout autre État étranger en ce qui concerne le renseignement étranger, les COD et les COA seulement); ou lorsque ses activités portent atteinte à une attente raisonnable de protection en matière de la vie privée d’un Canadien ou d’une personne au Canada.
Conditions
- Les activités doivent être raisonnables, nécessaires et proportionnées.
- Des mesures sont en place pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada
- Désignation : Le MND peut désigner comme étant importante pour le GC de l’information électronique, des infrastructures de l’information ou des catégories d’information électronique ou d’infrastructures de l’information.
- L’information jugée comme se rapportant à un Canadien ou à une personne se trouvant au Canada sera utilisée, analysée ou conservée uniquement si elle est essentielle :
- à la défense, à la sécurité ou aux affaires internationales
- pour repérer, isoler, prévenir ou atténuer les activités dommageables visant les systèmes d’importance
- Mesures pour protéger la vie privée
- Politiques, formation, conservation, suppression, approbations de la gestion, LCA, vérifications, examens, DSJ, D2
- Une information nominative sur un Canadien peut seulement être divulguée à des personnes ou à des catégories de personnes définies, si la divulgation est essentielle à la défense, à la sécurité, à la cybersécurité ou aux affaires internationales.
- Une information relative à des Canadiens ou à des personnes se trouvant au Canada peut être divulguée aux personnes ou aux catégories de personne définies, si la divulgation est nécessaire à la protection des systèmes d’importance.
Exceptions
- Utilisation d’information accessible publiquement qui a été publiée ou diffusée à l’intention du grand public, qui est accessible au public dans l’IMI ou ailleurs, ou qui est accessible au public sur demande, par abonnement ou achat (ne comprend pas l’information pour laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée)
- Mise à l’essai ou évaluation de produits, de logiciels et de systèmes afin de trouver des vulnérabilités
- Analyse de l’information et prestation de conseil concernant les investissements étrangers au Canada à l’intention des ministres de SP et d’ISDE aux termes de la Loi sur Investissement Canada
- Acquisition, utilisation, analyse, conservation ou divulgation d’information sur l’infrastructure à des fins de recherche et de développement ou de mise à l’essai de systèmes ou de conduite d’activités de cybersécurité et d’assurance de l’information au sein de l’infrastructure à partir de laquelle celle-ci a été acquise
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités au sein des infrastructures de l’information pour repérer, isoler, prévenir ou atténuer les activités ou les conséquences des maliciels sur l’infrastructure
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités de recherche et de développement pour offrir des avis et des conseils sur l’intégrité des chaînes d’approvisionnement et sur la fiabilité de l’équipement, des services et des communications électroniques
Approbations
- Approbation par le ministre de la défense nationale : Le MND doit avoir des motifs raisonnables de croire que les conditions énoncées dans la loi sont respectées, notamment que les activités de renseignement étranger et de cybersécurité sont raisonnables, nécessaires et proportionnées et que les activités relatives aux COD et aux COA sont raisonnables et proportionnées.
Surveillance
- Approbation par le commissaire au renseignement (CR)
- Le CR doit être convaincu que les conclusions ministérielles sont raisonnables.
- Le CR approuve les AM du CST avant que le CST mène des opérations en vertu de celles-ci.
Examen
- Office de surveillance des activités en matière de sécurité nationale (OSSNR)
- Examiner toutes les activités du CST ainsi que toutes les activités relatives à la sécurité nationale qui sont menées à l’échelle du GC;
- Examiner les activités du CST pour veiller à leur conformité aux lois et aux directives ministérielles, de même que le caractère raisonnable et la nécessité que le CST exerce ses pouvoirs;
- Enquêter sur les plaintes contre le CST.
- Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
- Examiner les activités du CST qui concernent le renseignement ou la sécurité nationales, y compris les mesures mises en place par l’organisme pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
Cyberopérations défensives (COD) (Article 18, Loi sur le Centre des télécommunications)
Mandat
- Les activités ne doivent pas viser ni les Canadiens ni les personnes se trouvant au Canada et ne doivent pas aller à l’encontre de la Charte canadienne des droits et libertés.
- Activités exigeant une autorisation ministérielle (AM) : Les AM protègent le CST lorsque ses activités contreviennent à d’autres lois du Parlement (*ou de tout autre État étranger en ce qui concerne le renseignement étranger, les COD et les COA seulement); ou lorsque ses activités portent atteinte à une attente raisonnable de protection en matière de la vie privée d’un Canadien ou d’une personne au Canada.
Conditions
- Les activités doivent être raisonnables et proportionnées.
- L’objectif d’une COA ou d’une COD ne peut raisonnablement pas être atteint autrement.
- Toute information dont se sert le CSE pour planifier ou mener une COD ou une COA doit être acquise en vertu d’une AM de renseignement étranger ou de cybersécurité.
- Il est strictement interdit pour le CST de faire ce qui suit :
- causer, volontairement ou par négligence criminelle, des lésions corporelles à un individu ou la mort de celui-ci;
- entraver le cours de la justice ou de la démocratie.
Exceptions
- Utilisation d’information accessible publiquement qui a été publiée ou diffusée à l’intention du grand public, qui est accessible au public dans l’IMI ou ailleurs, ou qui est accessible au public sur demande, par abonnement ou achat (ne comprend pas l’information pour laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée)
- Mise à l’essai ou évaluation de produits, de logiciels et de systèmes afin de trouver des vulnérabilités
- Analyse de l’information et prestation de conseil concernant les investissements étrangers au Canada à l’intention des ministres de SP et d’ISDE aux termes de la Loi sur Investissement Canada
- Acquisition, utilisation, analyse, conservation ou divulgation d’information sur l’infrastructure à des fins de recherche et de développement ou de mise à l’essai de systèmes ou de conduite d’activités de cybersécurité et d’assurance de l’information au sein de l’infrastructure à partir de laquelle celle-ci a été acquise
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités au sein des infrastructures de l’information pour repérer, isoler, prévenir ou atténuer les activités ou les conséquences des maliciels sur l’infrastructure
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités de recherche et de développement pour offrir des avis et des conseils sur l’intégrité des chaînes d’approvisionnement et sur la fiabilité de l’équipement, des services et des communications électroniques
Approbations
- Approbation par le ministre de la défense nationale : Le MND doit avoir des motifs raisonnables de croire que les conditions énoncées dans la loi sont respectées, notamment que les activités de renseignement étranger et de cybersécurité sont raisonnables, nécessaires et proportionnées et que les activités relatives aux COD et aux COA sont raisonnables et proportionnées.
- approbation donnée si le ministre des Affaires étrangères est consulté
Surveillance
Néant
Examen
- Office de surveillance des activités en matière de sécurité nationale (OSSNR)
- Examiner toutes les activités du CST ainsi que toutes les activités relatives à la sécurité nationale qui sont menées à l’échelle du GC;
- Examiner les activités du CST pour veiller à leur conformité aux lois et aux directives ministérielles, de même que le caractère raisonnable et la nécessité que le CST exerce ses pouvoirs;
- Enquêter sur les plaintes contre le CST.
- Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
- Examiner les activités du CST qui concernent le renseignement ou la sécurité nationales, y compris les mesures mises en place par l’organisme pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
Cyberopérations actives (COA) (Article 19, Loi sur le Centre des télécommunications)
Mandat
- Les activités ne doivent pas viser ni les Canadiens ni les personnes se trouvant au Canada et ne doivent pas aller à l’encontre de la Charte canadienne des droits et libertés.
- Activités exigeant une autorisation ministérielle (AM) : Les AM protègent le CST lorsque ses activités contreviennent à d’autres lois du Parlement (*ou de tout autre État étranger en ce qui concerne le renseignement étranger, les COD et les COA seulement); ou lorsque ses activités portent atteinte à une attente raisonnable de protection en matière de la vie privée d’un Canadien ou d’une personne au Canada.
Conditions
- Les activités doivent être raisonnables et proportionnées.
- L’objectif d’une COA ou d’une COD ne peut raisonnablement pas être atteint autrement.
- Toute information dont se sert le CSE pour planifier ou mener une COD ou une COA doit être acquise en vertu d’une AM de renseignement étranger ou de cybersécurité.
- Il est strictement interdit pour le CST de faire ce qui suit :
- causer, volontairement ou par négligence criminelle, des lésions corporelles à un individu ou la mort de celui-ci;
- entraver le cours de la justice ou de la démocratie.
Exceptions
- Utilisation d’information accessible publiquement qui a été publiée ou diffusée à l’intention du grand public, qui est accessible au public dans l’IMI ou ailleurs, ou qui est accessible au public sur demande, par abonnement ou achat (ne comprend pas l’information pour laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée)
- Mise à l’essai ou évaluation de produits, de logiciels et de systèmes afin de trouver des vulnérabilités
- Analyse de l’information et prestation de conseil concernant les investissements étrangers au Canada à l’intention des ministres de SP et d’ISDE aux termes de la Loi sur Investissement Canada
- Acquisition, utilisation, analyse, conservation ou divulgation d’information sur l’infrastructure à des fins de recherche et de développement ou de mise à l’essai de systèmes ou de conduite d’activités de cybersécurité et d’assurance de l’information au sein de l’infrastructure à partir de laquelle celle-ci a été acquise
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités au sein des infrastructures de l’information pour repérer, isoler, prévenir ou atténuer les activités ou les conséquences des maliciels sur l’infrastructure
- Aux fins de cybersécurité et d’assurance de l’information uniquement : Mener des activités de recherche et de développement pour offrir des avis et des conseils sur l’intégrité des chaînes d’approvisionnement et sur la fiabilité de l’équipement, des services et des communications électroniques
Approbations
- Approbation par le ministre de la défense nationale : Le MND doit avoir des motifs raisonnables de croire que les conditions énoncées dans la loi sont respectées, notamment que les activités de renseignement étranger et de cybersécurité sont raisonnables, nécessaires et proportionnées et que les activités relatives aux COD et aux COA sont raisonnables et proportionnées.
- approbation donnée si le ministre des Affaires étrangères en fait la demande ou donne son consentement
Surveillance
Néant
Examen
- Office de surveillance des activités en matière de sécurité nationale (OSSNR)
- Examiner toutes les activités du CST ainsi que toutes les activités relatives à la sécurité nationale qui sont menées à l’échelle du GC;
- Examiner les activités du CST pour veiller à leur conformité aux lois et aux directives ministérielles, de même que le caractère raisonnable et la nécessité que le CST exerce ses pouvoirs;
- Enquêter sur les plaintes contre le CST.
- Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
- Examiner les activités du CST qui concernent le renseignement ou la sécurité nationales, y compris les mesures mises en place par l’organisme pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
Assistance technique et opérationnelle (Article 20, Loi sur le Centre des télécommunications)
Mandat
- Le CST peut faire l’objet de demandes de la part d’organismes fédéraux chargés de l’application de la loi et de la sécurité, des Forces armées canadiennes (FAC) et du ministère de la Défense nationale (MDN).
Conditions
- Les pouvoirs du CST correspondent alors à ceux qu’aurait l’organisme demandeur s’il menait lui-même l’activité.
- Le CST doit également respecter les restrictions ou les conditions imposées à l’organisme demandeur, comme un mandat ou une loi en vigueur.
- De plus, lorsqu’il offre son assistance au MDN et aux FAC, le CST doit veiller à ce qui suit :
- recevoir de la part du MDN ou des FAC une demande écrite approuvée par un représentant désigné;
- respecter toutes les directives, toutes les limites et tous les paramètres liés à l’activité autorisée des FAC;
- se conformer à toutes les directives ministérielles pertinentes que lui transmet le ministre de la Défense nationale;
- respecter les ententes ou arrangement pris avec les MDN et les FAC;
- se conformer à toutes les politiques et les procédures ayant trait à la prestation d’assistance.
Exceptions
Néant
Approbations
Néant
Surveillance
Néant
Examen
- Office de surveillance des activités en matière de sécurité nationale (OSSNR)
- Examiner toutes les activités du CST ainsi que toutes les activités relatives à la sécurité nationale qui sont menées à l’échelle du GC;
- Examiner les activités du CST pour veiller à leur conformité aux lois et aux directives ministérielles, de même que le caractère raisonnable et la nécessité que le CST exerce ses pouvoirs;
- Enquêter sur les plaintes contre le CST.
- Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
- Examiner les activités du CST qui concernent le renseignement ou la sécurité nationales, y compris les mesures mises en place par l’organisme pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada.
Ligne de réponse aux médias
Si le ministre doit commenter :
- Je suis impatient de travailler comme ministre du CST, l’organisme le plus important dont les Canadiennes et Canadiens n’ont jamais entendu parler. Le CST et son Centre pour la cybersécurité jouent un rôle essentiel afin de protéger le Canada et la population canadienne. Grâce à ses rôles importants liés à la cybersécurité, au renseignement électromagnétique étranger et aux cyberopérations, le CST protège les systèmes et l’information du Canada. Il contribue aux efforts du Canada en appui à l’Ukraine et aide à protéger la démocratie en tant que membre du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections.
Si on pose des questions sur les enjeux actuels :
- Cyberprotection/Infrastructures essentielles
- Les cybermenaces représentent une menace omniprésente pour les organisations canadiennes, y compris les infrastructures essentielles dont nous dépendons au quotidien. J’ai hâte de collaborer avec le CST et son Centre pour la cybersécurité afin de protéger le Canada contre ces menaces.
- Ukraine :
- Le CST joue un rôle important dans la réponse du Canada envers l’invasion de l’Ukraine par la Russie. Il a fourni du renseignement électromagnétique, a envoyé des cyberopératrices et cyberopérateurs en Ukraine et en Lettonie afin de renforcer leur cybersécurité et a communiqué du renseignement déclassifié sur les médias sociaux en vue de lutter contre les activités de désinformation de la Russie.
- Ingérence étrangère// GT MSRE
- Le CST et son Centre pour la cybersécurité font partie du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (GT MSRE), qui est responsable de surveiller les activités secrètes, clandestines ou criminelles s’ingérant dans les processus électoraux au Canada ou ayant une influence sur eux. Durant les élections fédérales, y compris lors d’élections partielles récentes, le GT MSRE surveille activement les processus pour détecter tout signe d’ingérence étrangère.