Fiche d'information
Le gouvernement du Canada est confronté à des menaces provenant d’un large éventail de cyberacteurs malveillants, allant des cybercriminels aux États étrangers disposant de moyens sophistiqués, ce qui fait de la cybersécurité une priorité absolue en matière de sécurité nationale. La protection des systèmes fédéraux contre ces menaces est une responsabilité du Centre de la sécurité des télécommunications (CST), l’organisme responsable de la cybersécurité au Canada.
Au sein du CST, le Centre canadien pour la cybersécurité dirige les efforts visant à prévenir et à détecter les cybermenaces ciblant les systèmes et l’infrastructure du gouvernement, ainsi qu’à y répondre. En 2019, la Loi sur le Centre de la sécurité des télécommunications accordait au CST des pouvoirs élargis visant à renforcer la position du Canada en matière de cybersécurité, y compris des pouvoirs accrus en matière de cybersécurité et d’assurance de l’information (CAI).
Étant donné que le travail du CST consiste à recueillir et à analyser de grandes quantités d’information numérique – lesquelles pourraient incidemment concerner des Canadiens ou des personnes se trouvant au Canada –, un examen rigoureux est essentiel pour veiller à ce que ces activités demeurent légales et raisonnables, en particulier respectueuses du droit à la vie privée.
Dans ce contexte, l’OSSNR a entrepris son premier examen des activités CAI du CST. L’examen a permis d’étudier de près l’une des principales solutions du CST en matière de cybersécurité, d’analyser les opérations plus générales de cyberdéfense et d’évaluer la façon dont ces activités sont coordonnées avec Services partagés Canada (SPC), qui gère une grande partie de l’infrastructure de TI du gouvernement fédéral.
Pour reconnaître et prévenir les cybermenaces, le CST acquiert et analyse de vastes quantités d’information. Ces activités peuvent être très intrusives et mettre en jeu des intérêts importants en matière de protection de la vie privée des Canadiens, y compris ceux qui interagissent avec le gouvernement du Canada. L’examen de l’OSSNR a mis l’accent sur la façon dont étaient gérés les renseignements pouvant avoir une incidence sur les intérêts des Canadiens en matière de protection de la vie privée.
L’examen permet de conclure que le CST apporte une contribution essentielle à la protection des réseaux du gouvernement du Canada et qu’il intègre des mesures conçues pour protéger la vie privée des Canadiens et d’autres personnes au Canada. Cependant, l’OSSNR a soulevé deux points importants à améliorer.
Premièrement, l’examen a permis de constater que les rapports du CST destinés au ministre de la Défense nationale – le ministre appelé à exercer un contrôle sur le CST – manquaient de clarté et de détails. Cette lacune pourrait nuire à la capacité du Ministre à prendre des décisions éclairées au sujet des activités de cybersécurité du CST.
Deuxièmement, l’OSSNR a fait remarquer que dans certains cas, la collecte de renseignements par le CST auprès de sources externes pouvait avoir une incidence sur les droits des Canadiens en matière de vie privée.
Pour remédier à ces problèmes, l’OSSNR a formulé sept recommandations visant à accroître la transparence des communications du CST avec le Ministre et à renforcer les procédures d’évaluation et de gestion des données qui peuvent avoir une incidence sur le droit à la vie privée.
Ces constatations soulignent l’importance vitale d’un examen rigoureux et indépendant des questions liées à la sécurité nationale. Puisque les cybermenaces ne cessent d’évoluer et de se raffiner, le Canada doit s’assurer que ses défenses numériques demeurent non seulement efficaces, mais aussi responsables et conformes aux valeurs canadiennes. L’examen de l’OSSNR joue un rôle crucial dans le maintien de cet équilibre, en veillant à ce que la sécurité et la protection des renseignements personnels aillent de pair.