Cybersécurité et projet de loi C-26 : Se conformer en toute confiance

29 août 2022

Au cours des dernières années, la situation du Canada en matière de cybersécurité a été mise à l'épreuve par diverses campagnes de cyberattaques ciblant les personnes, les entreprises et les infrastructures essentielles du pays. L'adoption accrue du numérique a poussé les pirates adolescents, les activistes, les organisations criminelles ainsi que les criminels parrainés par l'État à arsenaliser les outils et les processus numériques. Cela a eu pour effet de perturber les systèmes indispensables et d'ébranler le bien-être physique, psychologique et économique.

L'arrivée à la fois de la pandémie de COVID-19 et du conflit entre la Russie et l'Ukraine a accéléré le renforcement des pratiques de cyberdéfense nationales et internationales, rendant ainsi nécessaire l'amélioration des politiques, des directives et des données sur les menaces. Avec la montée des tensions géopolitiques, les cyberopérations hostiles menées par des gouvernements sont plus répandues que jamais et représentent une menace grandissante pour la sécurité, la prospérité économique et la sécurité publique nationales.

Selon le Centre de la sécurité des télécommunications (« CST »), les infrastructures essentielles et les grandes entreprises qui disposent d'actifs technologiques opérationnels représentent des cibles payantes pour les groupes de cyberattaquants par rançongiciel1. Par ailleurs, les autorités responsables de la cybersécurité du Groupe des cinq ont récemment sommé les exploitants d'infrastructures essentielles à intensifier leurs cyberdéfenses dans la foulée de la hausse des attaques parrainées par des États2.

Toutefois, puisque le secteur privé, les provinces et les organismes non gouvernementaux détiennent et exploitent 85 % des infrastructures essentielles du Canada, la normalisation des pratiques en matière de cybersécurité ne peut être assurée uniquement au moyen de politiques provenant du secteur. Nous continuerons donc d'assister à une utilisation accrue des cadres juridiques pour veiller à l'amélioration de la cyberdéfense au sein de la société.

Dépôt du projet de loi C-26

Le 14 juin 2022, la Chambre des communes du Canada a déposé le projet de loi C-26, la Loi concernant la cybersécurité, qui propose l'adoption de nouvelles exigences en matière de cybersécurité pour protéger les services et les systèmes critiques liés à la sécurité nationale et publique du Canada.3

L'objectif du projet de loi C-26 est d'améliorer la sécurité des secteurs essentiels, d'atténuer de façon plus efficace les cyberrisques à l'échelle des secteurs sous réglementation fédérale et d'augmenter le pouvoir législatif du gouvernement canadien afin qu'il puisse répondre aux menaces de façon appropriée.

Le projet de loi est divisé en deux parties :

  1. Modification de la Loi sur les télécommunications de façon à sécuriser les systèmes canadiens de télécommunication et à interdire l'utilisation de produits et de services offerts par certains fournisseurs de services de télécommunication. Cette modification maintient l'interdiction imposée à Huawei Technologies et à ZTE empêchant ces entreprises chinoises de participer à l'infrastructure 5G du Canada, et retirant leurs équipements 4G et mettant fin aux services qu'elles gèrent d'ici 2027.
  2. Promulgation de la Loi sur la protection des cybersystèmes essentiels pour fournir un cadre réglementaire exhaustif visant la protection des cybersystèmes sous-tendant les infrastructures essentielles du Canada au moyen de l'atténuation et du signalement des risques, ainsi que pour favoriser la collaboration entre les exploitants et les entités gouvernementales grâce au partage d'information.

Ce projet de loi aura des répercussions considérables, dont les suivantes :

  1. Octroi au gouvernement du pouvoir de prendre connaissance des situations opérationnelles et de cyberconformité des secteurs essentiels du pays, de les examiner et de les évaluer, ainsi que d'intervenir à ces égards;
  2. Mise en place de programmes de cybersécurité obligatoires pour les secteurs essentiels;
  3. Mise en application du règlement par les organismes de réglementation et les forces de l'ordre, accompagnée de sanctions pécuniaires.

Loi sur la protection des cybersystèmes essentiels

Qui est concerné?

La Loi sur la protection des cybersystèmes essentiels s'applique aux exploitants désignés de services et de systèmes critiques ainsi qu'aux organismes de réglementation qui les supervisent. Le gouverneur en conseil est autorisé à ajouter ou à retirer des services et des systèmes propres à des secteurs et à les classer comme systèmes critiques.

Voici une liste des secteurs actuellement visés par cette loi
Services ou systèmes critiques Organismes de réglementation
Services de télécommunication Ministère de l'Industrie
Systèmes de transport relevant de la compétence législative du Parlement Ministère des Transports
Réseaux de canalisation et de lignes électriques interprovinciaux ou internationaux Régie de l'énergie du Canada
Systèmes d'énergie nucléaire Commission canadienne de sûreté nucléaire
Systèmes bancaires Bureau du surintendant des institutions financières
Systèmes de compensation et de règlement Banque du Canada

Exigences en vertu de la Loi sur la protection des cybersystèmes essentiels

La loi exige que les exploitants désignés conçoivent et mettent en œuvre les contrôles suivants :

a. Programme de cybersécurité

Un exploitant désigné doit établir un programme de cybersécurité dans les 90 jours suivant la date à laquelle il devient un exploitant désigné.

Un programme de cybersécurité bien conçu tient compte des objectifs commerciaux de l'organisation, de son profil de risque, des exigences en matière de réglementation et de conformité ainsi que des menaces externes. Il devrait également inclure la participation active du conseil d'administration, de la haute direction, des employés, des entrepreneurs et des fournisseurs tiers.

Le programme doit permettre de faire ce qui suit :

  • Repérer les risques de cybersécurité au sein de l'organisation, y compris les menaces pesant sur les chaînes d'approvisionnement et le recours à des produits et des services de tiers;
  • Mettre en œuvre des technologies pour détecter de façon proactive les risques et protéger les cybersystèmes essentiels contre toute compromission;
  • Élaborer des plans d'atténuation visant à harmoniser les niveaux de risques avec les niveaux d'appétence au risque et à minimiser les répercussions d'un cyberincident sur les cybersystèmes essentiels;
  • Rester à l'affût des exigences réglementaires et veiller à s'y conformer.

Le programme doit faire l'objet d'un examen annuel au plus tard dans les 60 jours suivant la date de sa mise en œuvre. Dans les 30 jours suivant l'examen, l'organisme de réglementation doit être avisé de tout changement apporté ou devant être apporté au programme.

L'exploitant désigné est tenu d'aviser sans délai l'organisme de réglementation si un changement important survient relativement à la propriété ou au contrôle, au recours à des services de tiers ou à toute modalité prévue par le règlement.

b. Processus de signalement des incidents de cybersécurité

Un incident de cybersécurité est défini par le projet de loi C-26 comme étant un acte, une omission ou une situation qui nuit ou peut nuire à la continuité ou à la sécurité d'un service ou d'un système critique ou à la confidentialité, à l'intégrité ou à la disponibilité du cybersystème essentiel.

Il incombe aux exploitants désignés de signaler les incidents de cybersécurité entraînant des conséquences sur l'exploitation de leurs cybersystèmes essentiels auprès des deux organismes suivants :

  1. L'organisme de réglementation compétent supervisant le secteur de l'infrastructure essentielle touchée;
  2. Le Centre canadien pour la cybersécurité, qui fait partie du CST.

Le Centre pour la cybersécurité enquêtera sur l'incident et offrira des conseils en vue d'atténuer ses répercussions. Les exploitants désignés sont tenus de suivre les recommandations du Centre pour la cybersécurité afin de réduire les risques et de protéger leurs systèmes essentiels.

Les exigences en matière de délai de signalement des cyberincidents peuvent varier d'un organisme de réglementation à l'autre. Veuillez vous renseigner sur vos obligations en matière de signalement auprès de l'organisme de réglementation concerné.

c. Tenue à jour des documents liés à tous les contrôles de cybersécurité

Les exploitants désignés doivent tenir à jour les documents liés à ce qui suit :

  1. Toutes les mesures prises pour mettre en œuvre leur programme de cybersécurité qui s'applique à l'ensemble des contrôles liés aux personnes, aux processus et aux technologies. Cela comprend toutes les mesures mises en œuvre à l'échelle des cinq cybersecteurs, soit cibler, protéger, détecter, répondre et rétablir;
  2. Tous les incidents de cybersécurité signalés par l'exploitant désigné;
  3. Toutes les mesures prises par l'exploitant désigné pour atténuer les risques pesant sur la chaîne d'approvisionnement ou les tiers;
  4. Toutes les mesures prises par l'exploitant désigné pour mettre en œuvre toute directive en matière de cybersécurité;
  5. Toute autre question visée par le règlement.

Les exploitants désignés doivent conserver les documents au Canada dans un lieu désigné par le règlement ou, à défaut, dans leur établissement. Ils devront également conserver les documents de la façon et pendant la durée précisées par le règlement ou, à défaut, par l'organisme de réglementation concerné.

Incidence générale et pouvoirs gouvernementaux

Conditions d'exploitation

En pratique, les programmes de cybersécurité deviennent partie intégrante du permis d'exploitation de l'exploitant désigné. Le gouvernement fédéral peut édicter des règlements imposant des exigences auxquelles les programmes de l'exploitant doivent se conformer. Toutefois, il incombe au gouvernement du Canada et aux organismes de réglementation concernés de définir ces exigences.

Échange d'information

Le projet de loi autorise le gouvernement fédéral à échanger des renseignements confidentiels ou des informations de nature technique, au besoin, pour protéger les infrastructures essentielles. Plus précisément, le Centre de cybersécurité est autorisé, en vertu de ce projet de loi, à faire ce qui suit :

  1. partager ses conclusions avec les exploitants désignés d'un même secteur;
  2. informer les organismes de réglementation du défaut d'un exploitant désigné de mettre en œuvre un programme de cybersécurité.

Conseils reçus du CST

Si un organisme de réglementation demande au CST de lui offrir des avis, des conseils ou des services, l'organisme de réglementation peut fournir au CST toute information, y compris tout renseignement confidentiel, concernant le programme de cybersécurité de l'exploitant désigné, les mesures prises pour atténuer les risques pesant sur la chaîne d'approvisionnement ou le recours à des produits et des services de tiers.

Conformité aux directives en matière de cybersécurité

Le projet de loi autorise le gouvernement fédéral à donner aux exploitants désignés des directives en matière de cybersécurité, s'il l'estime nécessaire, afin de protéger un cybersystème essentiel. Les exploitants désignés sont tenus de s'y conformer et de conserver et tenir à jour les documents attestant de leur conformité.

Ces directives sont les suivantes :

  1. Identifier les exploitants désignés;
  2. Spécifier les mesures de cybersécurité à prendre;
  3. Déterminer la période de mise en œuvre.

Sanctions administratives pécuniaires

En cas de non-conformité, le projet de loi autorise chaque organisme de réglementation à infliger des sanctions pécuniaires fixées par le règlement pouvant aller jusqu'à un million de dollars dans le cas d'une personne physique et jusqu'à quinze millions de dollars dans les autres cas.

Des sanctions administratives pécuniaires peuvent être infligées pour toute violation de la Loi sur la protection des cybersystèmes essentiels, y compris le défaut de signaler un incident de cybersécurité et le défaut de se conformer à une directive en matière de cybersécurité.

Les organismes de réglementation sont autorisés à entamer des procédures réglementaires pouvant mener à des amendes et même à l'emprisonnement en cas de non-conformité aux dispositions de la Loi sur la protection des cybersystèmes essentiels.

Principales mesures de sauvegarde que votre organisation peut prendre

Ces mesures de sécurité visent à protéger les actifs informationnels que possède une organisation d'une divulgation, d'une perturbation, d'un accès, d'une utilisation ou d'une modification non autorisés. Afin de veiller à la confidentialité, à l'intégrité et à la disponibilité des actifs informationnels de votre organisation, BDO recommande de mettre en place les principales mesures de sauvegarde suivantes :

  1. Programme de gestion de risques — Sensibilisez votre organisation aux risques organisationnels en évaluant vos contrôles et vos processus, en établissant des registres de risques, en attribuant des rôles et des responsabilités en matière de gestion responsable des risques et en élaborant des normes d'exploitation qui répondent aux exigences en matière de conformité. Être conscient des risques est la première étape à franchir pour atteindre un niveau de maturité en matière de cybersécurité.
  2. Architectures et plateformes sécurisées — Utilisez des plateformes infonuagiques sécurisées qui possèdent des fonctionnalités de sécurité intégrées qui vous permettront d'accélérer votre cheminement en matière de sécurité.
  3. Capacités continues de surveillance, de détection et de réponse — Maximisez vos capacités de réponse et votre état d'alerte aux menaces grâce à des outils de détection intégrant une fonction d'alertes adaptées et automatisées.
  4. Sécurité offensive — Bien qu'il soit important de disposer de procédures et de politiques, mettre les contrôles organisationnels à l'essai au moyen de simulations l'est tout autant. Des tests contrôlés qui ont recours aux tactiques des auteurs de cybermenaces peuvent permettre de relever les faiblesses au sein de vos contrôles relatifs aux gens, aux processus et aux technologies et d'y remédier.
  5. Gestion des actifs et des vulnérabilités — Dressez la liste de vos actifs informatiques et utilisez divers outils pour recenser les vulnérabilités de votre réseau. Éliminer les vulnérabilités liées aux actifs prioritaires réduit les risques.
  6. Processus de réponse aux incidents et de récupération des données — Il ne s'agit pas de savoir si le processus de réponse aux incidents ou le processus de récupération des données fera l'objet d'une violation, mais bien de savoir à quel moment celle-ci surviendra. Mettre en place des plans de réponse aux incidents et de récupération des données indiquant les mesures à prendre, les rôles et les responsabilités, et conserver les coordonnées hors ligne aident à accélérer la période de confinement et de récupération de l'organisation.
  7. État d'alerte aux menaces — Appuyez-vous sur les données en matière de cybermenaces pour protéger votre organisation des menaces courantes et des auteurs de menaces qui prévoient attaquer ou exploiter votre organisation sur le Web clandestin.

Comment BDO Lixar peut-il vous aider?

Les services en cybersécurité offerts par BDO Lixar s'appuient sur huit piliers et proposent une approche globale en matière de cybergestion pour vous aider à relever les défis informatiques actuels.

Nos experts peuvent vous aider à mettre en place les outils et les technologies nécessaires pour assurer la sécurité de vos actifs critiques et ainsi vous permettre de vous consacrer à l'essentiel : l'évolution de votre entreprise.

Notre approche

Nous croyons que vos objectifs d'entreprise reposent sur une stratégie en matière de technologies de l'information, lesquels vous permettront de créer une stratégie de sécurité efficace à utiliser maintenant et à l'avenir.

En adoptant une approche de gestion des risques tournée vers les affaires qui vous permet de renforcer votre sécurité, notre équipe peut vous aider à comprendre votre situation actuelle en matière de cybersécurité, à prévoir vos besoins futurs et à mettre en œuvre un plan en vue d'atteindre un niveau de maturité optimal en matière de cybersécurité.

Nos services

Nos services en cybersécurité comprennent une gamme de solutions complète qui couvre tous les besoins des entreprises d'aujourd'hui. Nos services de cybersécurité comprennent ce qui suit :

  • Sécurité des applications;
  • Sécurité de l'infonuagique;
  • Transformation et gestion des cyberrisques;
  • Service géré de détection et d'intervention;
  • Sécurité offensive;
  • Repérage de menaces;
  • Données sur les menaces;
  • Gestion des vulnérabilités.

Pour obtenir de plus amples renseignements, veuillez communiquer avec :

Rocco Galletto, associé et chef national, Services en cybersécurité
Rob Philpotts, directeur de service, Services de gestion et d'intervention en matière de cybermenaces
Dishank Rustogi, directeur principal, Services de gestion et de transformation des cyberrisquess
Mark Zuzarte, directeur de service, Services de sécurité des applications et de sécurité offensive
Sacha Blasiak-Priestley, directrice de service, Services de sécurité de l'infonuagique

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.