IHEMI

Quelle cybersécurité pour le Québec et le Canada ?

Le contenu de cette page a été écrit et publié sous la direction de l'Institut national des hautes études de la sécurité et de la justice (INHESJ) qui a rejoint l'Institut des hautes études du ministère de l'Intérieur (IHEMI) le 1er janvier 2021. Il était important pour la direction de l'IHEMI de conserver l'ensemble du contenu de l'INHESJ, qui constitue désormais la mémoire de l'institut.

""
06fév.20

Par sa géographie, mais aussi son régime politique, le Canada possède des caractéristiques et des ambitions originales en matière de cybersécurité. Article de Hugo Loiseau, issu des Cahiers de la sécurité et de la justice n°43.

Par sa géographie, mais aussi son régime politique, le Canada possède des caractéristiques et des ambitions originales en matière de cybersécurité. Le régime canadien de cybersécurité est décentralisé et déconcentré puisqu’il repose sur des stratégies ou des cadres mis en œuvre par de nombreuses institutions à différents paliers gouvernementaux. Ce régime s’appuie aussi sur la collaboration des provinces canadiennes qui possèdent une part de responsabilité en cybersécurité. Toutefois, le Canada n’est pas à l’abri des menaces en provenance du cyberespace et la vie politique canadienne est rythmée par de nombreux débats à propos de sa cybersécurité.

La cybersécurité est devenue progressivement un sujet de préoccupation grandissant pour de nombreux États du monde. Les cyberattaques et la cybercriminalité, à l’instar de tous les problèmes qu’engendre le phénomène cyber, ont augmenté de façon extraordinaire au cours des vingt dernières années. Cette préoccupation est maintenant à l’ordre du jour de nombreux gouvernements à travers le monde. Dès lors se pose la question de savoir quelle cybersécurité pour le Québec et le Canada ? En d’autres mots, que font les gouvernements du Québec et du Canada dans leur tentative de gouvernance d’Internet et dans le cyberespace ? Quelles sont les stratégies et politiques mises en œuvre pour diminuer les risques et augmenter la résilience de la société face aux menaces croissantes du cyberespace ? Ces questions sont d’autant plus d’actualité que le pays est pris de plus en plus d’assaut par les cybercriminels selon le Centre de la sécurité des télécommunications (CST) du Canada1.

Contexte

Trois éléments fondamentaux sont incontournables afin d’exposer le contexte de l’action gouvernementale des gouvernements québécois et canadien en matière de cybersécurité. Tout d’abord, la superficie immense du territoire canadien, plus de neuf millions de km2 (environ quinze fois la France), sa situation géographique septentrionale et son écoumène imposent des exigences inévitables pour la cybersécurité. La première de ces exigences concerne les infrastructures de télécommunication qui doivent couvrir un immense territoire et desservir des consommateurs (populations, entreprises et secteur public) majoritairement concentrés au sud du territoire. Il existe donc une disparité d’accès à Internet entre les différentes provinces canadiennes, mais aussi entre les milieux urbains, qui sont très bien connectés, et les milieux ruraux moins bien connectés au réseau2. Les coûts en investissements pour l’extension du réseau, son entretien et sa protection se retrouvent donc répercutés sur le prix des forfaits proposés par les fournisseurs d’accès à Internet. Ces infrastructures sont possédées à environ 85 % par le secteur privé. Le Canada a donc un coût d’accès à Internet plus élevé qu’ailleurs. Malgré ce fait, le Canada étant un pays riche, la couverture du territoire est assez bonne (hormis quelques régions nordiques) et le taux de pénétration d’Internet est assez élevé de l’ordre environ de 86 % en 2013, ce qui se situe dans la moyenne des pays occidentaux3.

La proximité du Canada avec les États-Unis et l’intégration économique, culturelle, sociale et politique qui lui est corollaire imposent des exigences pour la cybersécurité canadienne 4. Ainsi, les politiques en matière de télécommunications et de défense qui sont entreprises aux États-Unis ont un impact au Canada. Par exemple, la collaboration entre les États-Unis et le Canada en matière de renseignement électronique est très poussée au sein des « Five Eyes » ou encore au sujet du périmètre de sécurité et de compétitivité économique entre le Canada et les États-Unis 5. L’intégration régionale se perçoit aussi sur les infrastructures de télécommunications qui sont partagées entre le Canada et les États-Unis et qui sont hautement intégrées.

Par ailleurs, au Canada, le pouvoir politique, selon les principes du fédéralisme, est divisé entre les provinces (les États fédérés) et le gouvernement central (l’État fédéral). Plus précisément, le Canada est constitué de dix gouvernements provinciaux, de trois gouvernements territoriaux (au nord du territoire) et d’un gouvernement fédéral. Cette diversité des sources de pouvoir se traduit par une diversité des approches et des politiques quant à la cybersécurité. Ainsi, la gouvernance en matière de cybersécurité est décentralisée et déconcentrée au Canada et elle fluctue en fonction du degré de collaboration entretenue entre toutes ces entités. De plus, la dynamique politique que cela induit fait en sorte de provoquer constamment des tensions entre le gouvernement fédéral et les gouvernements provinciaux autant sur les responsabilités des champs de compétence de chacun que sur le financement de ces responsabilités. À ce propos, la cybersécurité est une compétence partagée entre le gouvernement fédéral et les gouvernements provinciaux. Elle relève, entre autres, à la fois de la sécurité nationale (cyberdéfense), de la sécurité publique (cybercriminalité et mesures d’urgence) et du Code criminel (cybercriminalité).

La cybersécurité au Canada

Toujours selon les principes du fédéralisme canadien, ce qui est de dimension nationale relève du champ de compétence du gouvernement fédéral canadien. C’est pourquoi la cybersécurité au Canada est surtout la responsabilité du gouvernement fédéral puisque les réseaux de télécommunications traversent le territoire canadien et passent, de ce fait, par-delà les frontières interprovinciales. Par conséquent, la plupart des institutions canadiennes de cybersécurité relèvent de la compétence fédérale. Leur mandat est enraciné dans diverses lois et leurs actions sont encadrées par un cadre stratégique exhaustif : Protéger une société ouverte : la politique canadienne de sécurité nationale6 de 2004 et la Stratégie de cybersécurité du Canada de 2010. Celle-ci propose trois objectifs primordiaux : 1) protéger les systèmes gouvernementaux contre les menaces cybernétiques ; 2) établir des partenariats (avec le secteur privé notamment) pour protéger les infrastructures essentielles à l’extérieur du gouvernement fédéral et 3) aider les Canadiens à se protéger en ligne grâce à des programmes de prévention et de soutien technique 7.

Le régime actuel de cybersécurité canadien repose principalement sur six institutions fédérales8. Depuis 2003, année de sa création, le principal organisme est le ministère de la Sécurité publique du Canada, qui est chargé de coordonner tous les ministères et organismes fédéraux responsables de la sécurité nationale et de la protection des citoyens canadiens. Le ministère chapeaute la Gendarmerie royale du Canada (GRC), dont le mandat comprend, entre autres, la lutte contre la cybercriminalité dans le cadre du Programme de lutte contre la criminalité technologique. Depuis 2005, la Gendarmerie royale du Canada est appuyée par le Centre canadien de réponse aux incidents cybernétiques (CCRIC). Pour remplir son mandat, le Centre mène diverses activités et fournit des services de prévention et de prévision des cyberattaques à l’intérieur ou à l’extérieur du pays pour tous les paliers de gouvernement, pour les citoyens et pour les entreprises privées. Également sous les auspices de ce ministère, le Service canadien du renseignement de sécurité (SCRS) a pour mandat, en partie, d’enquêter sur les menaces que le cyberespace fait peser sur les réseaux et les systèmes d’information canadiens. Son rôle se limite à la production de renseignements, au contre-espionnage et à la protection contre les cyberattaques sur les infrastructures critiques.

La sécurité nationale et la cybersécurité concernent également la défense nationale. Naturellement, ces préoccupations relèvent du ministre de la Défense nationale, principalement par l’entremise du Centre de la sécurité des télécommunications (CST). Il s’agit d’une organisation civile qui a une triple mission : 1) produire des renseignements électromagnétiques internationaux (SIGINT) ; 2) protéger les réseaux informatiques du Canada et 3) appuyer les organismes fédéraux dans le domaine de la cybersécurité. Toutefois, ces trois missions devraient éventuellement être modifiées par le projet de loi C-59 qui autoriserait le CST « […] à prendre des mesures proactives visant à bloquer ou à entraver les cybermenaces étrangères avant qu’elles causent des dommages aux systèmes ou aux fonds d’information canadiens9 ». Autrement dit, le CST pourrait agir offensivement, au moyen de cyberespionnage et d’activités clandestines, dans le cyberespace dans le cadre de cette réforme importante de son mandat. Le projet de loi en est à la première étape du processus législatif et il est encore difficile d’évaluer sa forme finale au moment d’écrire ces lignes.

Toujours sur le plan de la défense nationale, les Forces armées canadiennes (FAC), quant à elles, jouent un rôle accru depuis 2017 dans la cybersécurité. La politique de défense du Canada l’affirme sans détour : « Nous adopterons une posture plus délibérée dans le cyberdomaine [sic] en renforçant nos défenses et en menant des cyberopérations actives contre d’éventuels adversaires dans le contexte de missions militaires autorisées par le gouvernement10 ». Pour ce faire, les Forces armées canadiennes envisagent de recruter du personnel spécialisé et d’investir dans les capacités interarmées durant les prochaines années. En 2014, dans un article précédent, nous avions qualifié la cybersécurité au Canada de défense proactive 11. Avec la nouvelle politique de la défense et le projet de loi C-59, le Canada renverse la situation et s’autorise à agir offensivement dans le cyberespace pour assurer sa cybersécurité.

La cybersécurité au Québec

Pour des raisons historiques, politiques, linguistiques et culturelles, le Québec, État fédéré à l’intérieur du Canada, forme une société distincte du reste du Canada. À cet effet, le cas de cette province constitue un exemple illustratif des contraintes politiques de la mise en œuvre des politiques de cybersécurité au Canada. Bien entendu, les lois canadiennes et les institutions fédérales agissent au Québec à l’instar des autres États fédérés du Canada, mais leurs actions sont limitées par le fédéralisme canadien et la volonté du gouvernement du Québec d’affermir son pouvoir et ses compétences dans ses champs de responsabilité notamment à propos de la cybersécurité et du numérique en général.

À l’instar du gouvernement fédéral, le gouvernement du Québec, grâce au ministère de la Sécurité publique du Québec (MSP), met en place depuis quelques années des campagnes de sensibilisation à la cybersécurité. Ces campagnes s’adressent surtout aux citoyens et visent les niveaux les plus communs en cybersécurité tels que la gestion des mots de passe, les comportements en ligne ou des conseils pour protéger ses données en ligne. La Sûreté du Québec (SQ) est responsable de la lutte contre la cyberintimidation au Québec, mais aussi de la cybercriminalité sur son territoire (les fraudes ou les vols d’identité par exemple). Sur le plan gouvernemental, la première grande initiative québécoise en cybersécurité a pris la forme de la directive sur la sécurité de l’information gouvernementale émise par le Conseil du trésor du Québec12. Cette directive oblige tous les organismes publics (ministères, hôpitaux, institutions d’enseignement…) à bâtir un environnement électronique sécuritaire afin de veiller à la sécurité de l’information. Paradoxalement, cette directive a été suivie par la Stratégie gouvernementale en technologies de l’information13, visant à moderniser l’État québécois par les technologies de l’information. Toutefois, cette stratégie ne fait pas référence à la directive comme si ces deux initiatives étaient séparées alors que la sécurité de l’information et les technologies de l’information sont complètement intriquées. La dernière initiative du Gouvernement du Québec date de décembre 2017 alors que la Stratégie numérique du Québec a été proclamée14. Parmi plusieurs objectifs, la stratégie cible une augmentation quant à la disponibilité et l’accès à Internet et ce, surtout dans les différentes régions du Québec. Les critiques de cette première stratégie numérique ont été nombreuses. En résumé, elles dénoncent la faible ambition des cibles de la stratégie qui doit rattraper, en cinq ans, une vingtaine d’années de retard par rapport à d’autres États. Cela dit, les questions de cybersécurité et de sécurité en général sont au cœur de la stratégie, notamment à propos de la sécurité des données et la gestion des risques associés à la cybersécurité.

Conclusion

Le Canada tout comme le Québec ont encore un travail immense à faire afin d’être mieux préparés à faire face aux menaces actuelles et futures en provenance du cyberespace. En effet, l’absence d’outils statistiques (comme des bases de données sur les cyberattaques ou les cybercrimes) ou intellectuels (un lexique bilingue uniforme à propos de la cybersécurité) fait encore défaut au Canada. Ces débats répondent à une nécessaire mise à jour des cadres légaux, des investissements et des actions gouvernementales par rapport aux phénomènes cyber actuels et émergents. En définitive, l’atteinte de la cybersécurité consiste en un effort soutenu et constant de la part des autorités dans le respect des droits et libertés ; les cas canadien et québécois le prouvent avec éloquence.

 

 

Article issu du n°43 des Cahiers de la sécurité et de la justice.

Citer cet article : LOISEAU H., « Quelle cybersécurité pour le Québec et le Canada ? », Cahiers de la sécurité et de la justice n°43, INHESJ / La Documentation Française, 2018.

Notes

  1. http://www.rcinet.ca/fr/2017/11/01/le-canada-pris-dassaut-par-des-cybercriminels/ (Consulté le 08/01/18)
  2. Canadian Internet Registration Authority (CIRA). Canada’s Internet Performance: National, Provincial and Municipal Analysis, April 2016, 20 p.
  3. https://cira.ca/factbook/2014/fr/the-canadian-internet.html (Consulté le 08/01/18)
  4. Quigley (K.), Jeffrey (R.), «Cyber-Security and Risk Management in an Interoperable World: An Examination of Governmental Action in North America», Social Science Computer Review, 30, no 1, 2012, p. 83‑94.
  5. Sécurité publique Canada, Plan d’action sur la cybersécurité entre Sécurité publique Canada et le Département de la Sécurité intérieure, 2015, https://www.securitepublique.gc.ca/cnt/rsrcs/pblctns/cybrscrt-ctn-plan/index-fr.aspx (Consulté le 08/01/18)
  6. Gouvernement du Canada, Protéger une société ouverte : la politique canadienne de sécurité nationale, 2004, 69 p.
  7. Gouvernement du Canada, Stratégie de cybersécurité du Canada, Renforcer le Canada et accroître sa prospérité, 2010, 16 p.
  8. D’autres institutions ont des mandats secondaires concernant la cybersécurité tels que le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) chargé de la loi canadienne anti-pourriel. Pour plus de détails voir : Loiseau (H.), Millette (C.A.), Lemay (L.), 2013, « La stratégie du Canada en matière de cybersécurité  : de la parole aux actes ? », Canadian Foreign Policy Journal, 19, no 2, p. 144‑157.
  9. http://www.45enord.ca/2017/06/le-projet-de-loi-c-59-destine-a-remplacer-la-controversee-loi-antiterroriste-des-conservateurs-a-ete-depose/ (Consulté le 08/01/18)
  10. Gouvernement du Canada, Défense nationale. Protection, Sécurité, Engagement : La politique de défense du Canada, 2017, p. 15. http://dgpaapp.forces.gc.ca/fr/politique-defense-canada/index.asp (Consulté le 08/01/18)
  11. Loiseau (H.), « La cybersécurité au Canada: une posture de défense pro-active » Diplomatie, Géopolitique du cyberespace, Les grands dossiers 23, Octobre-novembre 2014, p. 33-36.
  12. Gouvernement du Québec, Conseil du trésor. Directive sur la sécurité de l’information gouvernementale, 2014. https://www.tresor.gouv.qc.ca/ressources-informationnelles/securite-de-linformation/directive-sur-la-securite-de-linformation-gouvernementale/ (Consulté le 08/01/18)
  13. Gouvernement du Québec, Conseil du trésor. Stratégie gouvernementale en technologies de l’information, Rénover l’État par les technologies de l’information, 2015. https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/strategie_ti/strategie_ti.pdf (Consulté le 08/01/18)
  14. Gouvernement du Québec, Stratégie numérique du Québec, le Québec numérique : un projet de société, 2017. https://www.economie.gouv.qc.ca/fileadmin/contenu/documents_soutien/strategies/economie_numerique/sommaire-dynamique/strategie-numerique-du-quebec.html (Consulté le 08/01/18).

Derrière cet article

Hugo Loiseau - Cahiers de la sécurité et de la justice - INHESJ En savoir plus

Hugo Loiseau

Fonction Professeur des universités
Discipline Cybersécurité
Retour