Date de publication :
Sommaire
Il s’agissait du premier examen de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) sur la gouvernance des cyberopérations actives et défensives (COA/COD) du CST. L’examen portait sur le cadre de gouvernance qui guide la conduite des COA/COD et sur la prise en compte adéquate du CST de ses obligations juridiques et des répercussions de ses opérations sur la politique étrangère.
Le CST a obtenu le pouvoir de mener des COA/COD en 2019 à la suite de l’adoption de la Loi sur le Centre de la sécurité des télécommunications. Ce pouvoir, qui n’existait pas avant l’entrée en vigueur de la loi, confère au gouvernement du Canada de nouvelles capacités considérables. Le contexte mondial actuel est en train de justifier la pertinence de ces capacités et de ce pouvoir pour le Canada.
Comme le CST est résolu à respecter la loi, il a travaillé assidûment et méthodiquement pour opérationnaliser le nouveau pouvoir. Et comme il continue de mettre au point cette capacité, il procède avec prudence pour faire en sorte que toutes les activités respectent la Loi sur le CST et cadrent avec les obligations internationales du Canada, particulièrement celles mises en lumière dans la récente déclaration du Canada sur l’application du droit international dans le cyberespace.
Le CST reconnaît l’importance des organismes d’examen dans la collectivité de la sécurité et du renseignement et accueille favorablement les examens réalisés par ces organismes ainsi que les recommandations qui en découlent. Les recommandations présentées par l’OSSNR dans le cadre de son examen sur le cadre de gouvernance des COA/COD du CST contribueront à orienter l’amélioration des capacités du CST de sorte que ce dernier puisse continuer de mener ses activités dans le respect de la loi et de façon prompte, efficace et efficiente.
Comme Affaires mondiales Canada (AMC) est un partenaire crucial du cadre de gouvernance des COA/COD, l’OSSNR l’a mobilisé pour l’examen et a présenté ses recommandations à AMC et au CST. Le CST et AMC sont heureux de présenter la réponse suivante aux recommandations de l’OSSNR.
Recommandation 1 :
Le CST devrait définir plus précisément les catégories d’activités, les techniques connexes et les cibles visées pour ses COA et COD ainsi que le justificatif et les objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles visant ces activités.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
Même s’il acquiesce à la recommandation, le CST fait remarquer qu’il fournit toujours à la ministre l’information et les détails nécessaires pour qu’elle puisse évaluer la demande et délivrer une autorisation.
Le CST est d’accord avec le fait que, lorsque cela est possible sur le plan des opérations, l’intégration de l’information contenue dans les breffages et les présentations aux demandes et autorisations écrites permettra de produire des rapports écrits plus complets. Le CST a commencé à inclure de l’information plus détaillée dans les demandes et les autorisations liées aux COA/COD.
Recommandation 2 :
AMC devrait ajouter un mécanisme d’évaluation de tous les paramètres de risque pertinents en matière de politique étrangère des COA/COD dans les autorisations ministérielles connexes.
Réponse d’AMC :
AMC est d’accord avec cette recommandation.
AMC tient déjà compte d’une grande variété de facteurs dans son évaluation des risques en matière de politique étrangère, tel que l’indique le modèle d’évaluation des risques en matière de politique étrangère.
Par le passé, le CST a déjà fourni des évaluations des risques opérationnels/techniques distinctes dans ses plans de mission. Ces évaluations contenaient de l’information supplémentaire sur les cibles et leurs activités dans l’infrastructure mondiale de l’information (IMI), les technologies qu’elles utilisent ou les systèmes techniques complexes élaborés et déployés par le CST pour mener ses opérations.
Recommandation 3 :
Le CST et AMC devraient établir un cadre pour la consultation des principaux intervenants, comme la conseillère à la sécurité nationale et au renseignement auprès du premier ministre et d’autres organismes fédéraux dont le mandat recoupe les COA proposées, afin de veiller à ce que ces opérations cadrent avec les priorités stratégiques générales du gouvernement du Canada et répondent aux exigences énoncées dans la Loi sur le CST.
Réponse conjointe du CST et d’AMC :
En principe, le CST et AMC sont d’accord avec cette recommandation.
Le CST et AMC consultent tous les intervenants pertinents du gouvernement du Canada dont le mandat pourrait recouper les COA prévues. Nous sommes d’accord avec le fait qu’il est important d’aligner les opérations avec les priorités stratégiques générales du gouvernement du Canada et croyons qu’il existe déjà plusieurs mesures qui permettent, au besoin, d’informer et de consulter la collectivité élargie de la sécurité et du renseignement. À titre d’exemples, citons le système de comités de sous ministres adjoints et de sous-ministres sur la sécurité et le renseignement (p. ex., le Comité des sous-ministres adjoints sur les opérations de sécurité nationale [CSMAOSN] et le Comité des sous-ministres sur les opérations) ainsi que le système des comités sur des régions géographiques précises. De plus, il existe un processus sur les priorités en matière de renseignement pour l’ensemble de la collectivité qui fournit un cadre et un guide pour les activités liées au renseignement, comme les cyberopérations.
Nous savons que les types de COA envisagées et entreprises se diversifient et que pour cette raison, il pourrait être nécessaire de moderniser le modèle actuel de consultation des organismes fédéraux. Le CST et AMC travailleront ensemble pour établir, au fil du temps et au besoin, un cadre de consultation adéquat.
Recommendation 4 :
Le CST et AMC devraient fixer un seuil pour différencier une cyberopération active d’une cyberopération défensive préventive et décrire ce seuil à la ministre de la Défense nationale dans les autorisations ministérielles applicables.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont en désaccord avec cette recommandation.
Le CST et AMC ne peuvent pas être d’accord avec cette recommandation, car elle porte sur une activité (cyberopération défensive préventive) qui n’est pas visée par la Loi sur le CST et que le CST ne mène pas.
Au titre de l’article 18 de la Loi sur le CST, qui décrit le volet du mandat du CST touchant les cyberopérations défensives, le CST est autorisé à mener des activités dans l’infrastructure mondiale de l’information ou par l’entremise de celle-ci afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ainsi que l’information électronique et les infrastructures de l’information d’importance pour le gouvernement fédéral désignées comme telles dans la Loi sur le CST (infrastructures pertinentes). Pour qu’une COD soit lancée, il n’est pas nécessaire que la menace ait compromis l’information ou l’infrastructure, mais elle doit constituer une menace crédible pour les infrastructures de l’information désignées comme importantes.
Si l’OSSNR est d’avis que le CST et AMC doivent définir plus clairement le seuil qui différencie une COA d’une COD, alors le CST et AMC sont également en désaccord avec la recommandation étant donné que la Loi sur le CST définit clairement les conditions que le CST doit satisfaire pour entreprendre des activités de cybersécurité, que ce soit des COD ou des COA. Il n’y a donc pas lieu de créer un autre seuil.
Recommandation 5 :
Dans ses demandes présentées à la ministre de la Défense nationale, le CST devrait décrire précisément la possibilité de mener des activités de collecte au titre d’autorisations distinctes lors la réalisation de COA et de COD.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
CSE already accurately describes the potential for collection activities, and the authority for such activities, in its applications to the Minister of National Defence. CSE has taken steps to ensure that applications for and authorizations of ACOs and DCOs clearly reference the authorizations under which any acquisition of information required to achieve the intended outcome of the ACO or DCO is conducted.
Il est important de souligner que le CST n’est pas autorisé à obtenir de l’information au titre d’une autorisation de COA ou de COD. L’acquisition d’information servant à mener les activités de COA ou de COD est visée par une autorisation de renseignement étranger, une autorisation de cybersécurité ou une autorisation d’urgence. L’utilisation de cette information pour soutenir les COA et les COD est décrite dans les autorisations de renseignement étranger et de cybersécurité du CST. Ces autorisations font l’objet d’un examen du commissaire au renseignement qui évalue le caractère raisonnable et la proportionnalité de l’acquisition ainsi que l’utilisation de l’information à des fins liées aux COA et aux COD.
Recommandation 6 :
Le CST devrait inclure toute l’information pertinente, dont de l’information contextuelle et sur le ciblage, dans tous les plans opérationnels établis pour une cyberopération ainsi que dans le matériel présenté à AMC.
Réponse du CST :
Le CST est en désaccord avec cette recommandation.
GAC requires sufficient and pertinent information upon which to base its analysis related to foreign risk and international law. CSE has worked with GAC to share the appropriate level of operational detail that GAC has requested to conduct their work. This need is reflected in the CSE-GAC Governance Framework whereby GAC is provided with an operation-specific Mission Plan to inform its Foreign Policy Risk Assessment. GAC is satisfied with the information provided by CSE. When GAC has required additional information to conduct its Foreign Policy Risk Assessment or international law assessment, CSE has provided the supplemental information requested.
Recommandation 7 :
Le CST devrait offrir un programme de formation structurée à ses employées et employés qui participent à l’exécution de COA/COD pour que ceux-ci aient les connaissances nécessaires sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, comme l’exigent les autorisations ministérielles connexes.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
Pour compléter la formation et l’examen annuels obligatoires portant sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, le CST songera à créer un programme de formation sur mesure pour les employées et employés qui prennent part à la planification et à l’exécution des COA et des COD.
Recommandation 8 :
Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont partiellement d’accord avec cette recommandation.
Depuis la parution de l’examen, AMC et le CST ont continué de perfectionner le processus d’évaluation des répercussions juridiques internationales des cyberopérations du CST. La Direction générale des affaires juridiques (DGAJ) d’AMC procède à une évaluation juridique approfondie de la conformité de chaque opération au droit international.
Sur le plan de la procédure, le CST soumet à AMC un plan de mission et lui demande de procéder à une évaluation des risques en matière de politique étrangère. Une fois qu’elle a reçu cette demande, la DGAJ d’AMC mène une consultation avec les avocats du ministère de la Justice en poste dans les Services juridiques du CST et d’AMC et, dans certains cas, avec l’avocat du ministère de la Justice au sein de la Section du droit constitutionnel, administratif et international (SDCAI). L’objectif est de discuter des répercussions, sur le plan du droit international, de l’opération prévue, telle que décrite dans le plan de mission. Un résumé de ces discussions est versé dans une évaluation juridique écrite consignée dans l’évaluation des risques en matière de politique étrangère. Ces discussions reposent sur l’analyse du droit international qui est approfondi depuis de nombreuses années par la DGAJ d’AMC, notamment dans les commentaires du gouvernement du Canada dans le projet de chapitre du Tallinn Manual 2.0 en 2016, dans l’élaboration de l’ébauche de manuel coordonnée par la DGAJ d’AMC et produit en août 2019 et dans l’analyse juridique approfondie réalisée en amont des autorisations ministérielles originales visant les COA et les COD.
AMC fait remarquer qu’il serait inhabituel de produire une évaluation juridique approfondie du droit applicable en lien avec une foule d’opérations possibles ou hypothétiques qui pourraient être menées par le Canada, ses alliés et ses adversaires dans tous les secteurs, y compris dans le cyberespace. AMC, comme tout État généralement, a plutôt pour pratique de procéder à des évaluations juridiques sur des activités ou des opérations précises proposées, des affaires judiciaires et de possibles litiges.
AMC a fait une synthèse de son analyse du droit international dans une déclaration publique sur le droit international applicable dans le cyberespace. La déclaration publique a été élaborée et réalisée à la suite de vastes consultations interministérielles ayant fait appel à des spécialistes du droit et des politiques ainsi que d’analyse d’autres déclarations de pays et de publications et processus de premier plan, dont le Tallinn Manual 2.0, le dialogue d’experts sur le droit international et le cyberespace (dirigé par la Suisse), le processus de La Haye (dirigé par les Pays-Bas), les consultations informelles sur le droit international humanitaire et les cyberopérations (dirigées par la Suisse), le processus d’Oxford et la conférence annuelle sur le droit du US Cyber Command. Le Canada s’est joint à des nations de même sensibilité et à d’autres nations pour produire une déclaration publique, entre autres pour faire avancer des processus multilatéraux en cours aux Nations Unies et ailleurs ainsi que pour approfondir la compréhension commune de l’application du droit international dans le cyberespace et parvenir à un consensus général sur la question.
Recommandation no 9 :
Le CST et AMC devraient communiquer entre eux toute information et nouveauté pertinentes à l’évaluation des risques liées à une cyberopération, tant lors de la planification que de l’exécution.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont d’accord avec cette recommandation.
Depuis la parution de l’examen, le CST et AMC ont augmenté la fréquence des échanges au niveau de travail. Conformément au cadre de gouvernance d’AMC et du CST sur les cyberopérations étrangères, les deux organismes vont solidifier leurs points de contact et élaborer une procédure opérationnelle normalisée pour qu’ils puissent se transmettre mutuellement toute nouvelle information et toute nouveauté liées à une cyberopération.
