{"id":8537,"date":"2025-01-30T10:37:54","date_gmt":"2025-01-30T15:37:34","guid":{"rendered":"https:\/\/dev.nsira-ossnr.gc.ca\/reviews\/our-reviews\/cses-governance-of-active-and-defensive-cyber-operations-2\/"},"modified":"2025-05-26T15:09:51","modified_gmt":"2025-05-26T19:09:51","slug":"report","status":"publish","type":"page","link":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-02\/rapport\/","title":{"rendered":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report"},"content":{"rendered":"
\n
\n
\n
\n
\n \n

\n Gouvernance du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications Canada s'appliquant aux cyberop\u00e9rations actives et d\u00e9fensives <\/h1>\n\n
\n\n \n

\n Rapport <\/h2>\n \n \n\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n
\n
\n
Table des mati\u00e8res<\/div><\/div><\/div>
  1. Sommaire<\/a><\/li>
  2. Pouvoirs<\/a><\/li>
  3. Introduction<\/a>
    1. Contexte de l\u2019examen et m\u00e9thodologie<\/a><\/li>
    2. Que sont les cyberop\u00e9rations actives et d\u00e9fensives?<\/a><\/li>
    3. Fondements juridiques des cyberop\u00e9rations<\/a><\/li>
    4. Cadre politique s\u2019appliquant aux cyberop\u00e9rations<\/a><\/li><\/ol><\/li>
    5. Constatations et recommandations<\/a>
      1. Clart\u00e9 des autorisations minist\u00e9rielles<\/a><\/li>
      2. Gouvernance interne du CST<\/a><\/li>
      3. Cadre de mobilisation entre le CST et AMC<\/a><\/li><\/ol><\/li>
      4. Conclusion<\/a><\/li>
      5. ANNEXE A : Types de COA\/COD<\/a><\/li>
      6. ANNEXE B : COA et COD (2019-2020)<\/a><\/li>
      7. ANNEXE C : Cadre de travail pour le CST et AMC<\/a><\/li>
      8. ANNEXE D : Conclusions et recommandations<\/a>
        1. Constatations<\/a><\/li>
        2. Recommandations<\/a><\/li><\/ol><\/li><\/ol><\/div><\/div><\/div><\/section>\n\n\n\n
          \n<\/div><\/div>\n\n\n\n
          \n

          Date de publication :<\/strong><\/p>\n\n\n

          \n
          <\/i>T\u00e9l\u00e9charger le PDF<\/span><\/a><\/span><\/div>\n<\/div><\/div>\n\n\n\n

          Sommaire<\/h2>\n\n\n\n

          La Loi sur le CST conf\u00e8re au Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (CST) le\npouvoir de mener des cyberop\u00e9rations actives et des cyberop\u00e9rations d\u00e9fensives (COA\/COD). Tel qu\u2019il\nest stipul\u00e9 dans la Loi, une COD a pour but de stopper ou de g\u00eaner les cybermenaces \u00e9trang\u00e8res qui\npourraient peser sur les r\u00e9seaux ou les syst\u00e8mes du gouvernement f\u00e9d\u00e9ral d\u00e9sign\u00e9s comme \u00e9tant\nimportants pour le Canada par le ministre de la D\u00e9fense nationale (MinDN). Pour leur part, les COA ont\npour vocation de restreindre la capacit\u00e9 des adversaires \u00e0 porter atteinte aux relations internationales,\n\u00e0 la d\u00e9fense ou \u00e0 la s\u00e9curit\u00e9 du Canada. Les COA\/COD sont autoris\u00e9es par voie d\u2019autorisations\nminist\u00e9rielles (AM) et, en raison de leurs r\u00e9percussions potentielles sur la politique \u00e9trang\u00e8re, les COA\nn\u00e9cessitent l\u2019approbation du ministre des Affaires \u00e9trang\u00e8res (MAE), alors que les COD ne requi\u00e8rent\nque l\u2019avis du MAE.<\/p>\n\n\n\n

          Pendant le pr\u00e9sent examen, l\u2019OSSNR s\u2019est fix\u00e9 pour objectif d\u2019\u00e9valuer le cadre de\ngouvernance qui oriente la conduite des COA\/COD. L\u2019OSSNR a \u00e9galement cherch\u00e9 \u00e0 savoir si le CST\nprenait suffisamment en compte ses obligations l\u00e9gales, mais aussi les r\u00e9percussions de ses\nop\u00e9rations sur la politique \u00e9trang\u00e8re de l\u2019\u00c9tat canadien. En outre, l\u2019OSSNR a analys\u00e9 les documents\nportant sur les politiques et les proc\u00e9dures, sur la gouvernance et sur les op\u00e9rations, de m\u00eame que la\ncorrespondance entre le CST et AMC. L\u2019examen a d\u00e9but\u00e9 par l\u2019analyse des tout premiers documents\nportant sur les COA\/COD et s\u2019est conclu \u00e0 l\u2019\u00e9ch\u00e9ance de la p\u00e9riode de validit\u00e9 des premi\u00e8res\nautorisations minist\u00e9rielles visant des COA\/COD.<\/p>\n\n\n\n

          Dans le pr\u00e9sent examen, l\u2019OSSNR a tenu compte de l\u2019apport d\u2019Affaires mondiales\nCanada (AMC) en consid\u00e9ration du r\u00f4le important que ce minist\u00e8re tient dans la structure de\ngouvernance des COA\/COD con\u00e7ue conform\u00e9ment aux exigences \u00e9tablies par la loi relativement au\nr\u00f4le du MAE \u00e0 l\u2019\u00e9gard des AM. Par cons\u00e9quent, l\u2019OSSNR a \u00e9t\u00e9 en mesure d\u2019acqu\u00e9rir les \u00e9l\u00e9ments de\nconnaissance lui permettant de bien comprendre les structures de gouvernance et de reddition de\ncompte qui ont \u00e9t\u00e9 mises en place pour ces activit\u00e9s, et ce, en \u00e9tant expos\u00e9 \u00e0 des t\u00e9moignages uniques\nde la part de repr\u00e9sentants des deux minist\u00e8res, qui ont fait \u00e9tat de leurs r\u00f4les et de leurs\nresponsabilit\u00e9s respectifs.<\/p>\n\n\n\n

          La nouveaut\u00e9 de ces pouvoirs a contraint le CST \u00e0 \u00e9laborer de nouveaux m\u00e9canismes et\nprocessus tout en tenant compte des pouvoirs et contraintes nouvellement \u00e9tablis par la Loi. L\u2019OSSNR\na d\u2019ailleurs constat\u00e9 l\u2019important travail effectu\u00e9 par le CST et par AMC pour l\u2019\u00e9dification de la structure\nde gouvernance s\u2019appliquant aux COA\/COD. Dans le pr\u00e9sent contexte, l\u2019OSSNR a remarqu\u00e9 que\ncertains aspects de la gouvernance pouvaient \u00eatre am\u00e9lior\u00e9s en les rendant plus transparents et en les\n\u00e9non\u00e7ant plus clairement.<\/p>\n\n\n\n

          En outre, l\u2019OSSNR a not\u00e9 que le CST pourrait donner une information plus d\u00e9taill\u00e9e aux\nintervenants prenant part au processus d\u00e9cisionnel et \u00e0 la gouvernance des COA\/COD,\nparticuli\u00e8rement dans les documents comme les AM qui autorisent ces op\u00e9rations et dans les plans\nop\u00e9rationnels \u00e9tablis pour la direction desdites op\u00e9rations. De plus, l\u2019OSSNR a trouv\u00e9 que le CST et\nAMC n\u2019avaient suffisamment pris en compte ni les nombreuses lacunes, qui ont \u00e9t\u00e9 recens\u00e9es dans le\ncadre du pr\u00e9sent examen, ni les recommandations visant les \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n

            \n
          • la n\u00e9cessit\u00e9 de mobiliser d\u2019autres minist\u00e8res pour s\u2019assurer que les op\u00e9rations suivent les\npriorit\u00e9s globales du gouvernement du Canada;<\/li>\n\n\n\n
          • l\u2019absence d\u2019un seuil de d\u00e9marcation entre une COA et une COD pr\u00e9ventive;<\/span><\/li>\n\n\n\n
          • la n\u00e9cessit\u00e9 d\u2019\u00e9valuer la conformit\u00e9 au droit international de chacune des op\u00e9rations;<\/span><\/li>\n\n\n\n
          • la n\u00e9cessit\u00e9 de communiquer bilat\u00e9ralement les informations nouvellement acquises qui\nrenseignent sur le niveau de risque d\u2019une op\u00e9ration.<\/li>\n<\/ul>\n\n\n\n

            Les lacunes observ\u00e9es par l\u2019OSSNR sont de celles qui seraient porteuses de risques si\nelles ne devaient pas \u00eatre r\u00e9solues. Par exemple, en raison de leur nature vaste et g\u00e9n\u00e9rale, les\ncat\u00e9gories d\u2019activit\u00e9s, de techniques et de cibles faisant partie des COA\/COD [**expurg\u00e9**]<\/strong> pourraient\ndonner lieu \u00e0 l\u2019interception non intentionnelle d\u2019\u00e9l\u00e9ments concernant des activit\u00e9s et des cibles [**expurg\u00e9**]<\/strong>.\nAu reste, \u00e9tant donn\u00e9 que l\u2019apport d\u2019AMC n\u2019est pas le m\u00eame pour les COA et les COD, le fait de\nclassifier par erreur une COA en tant que COD pr\u00e9ventive pourrait donner lieu \u00e0 un accroissement du\nrisque pour les relations internationales du Canada, dans la mesure o\u00f9 l\u2019on pourrait ne pas avoir\nsuffisamment consult\u00e9 AMC.<\/p>\n\n\n\n

            Certes, le pr\u00e9sent examen s\u2019est concentr\u00e9 sur les structures de gouvernance en vigueur\npour ce qui concerne les COA\/COD, mais il faut savoir qu\u2019il sera encore plus important de voir comment\nces structures sont appliqu\u00e9es et observ\u00e9es dans la pratique. Nous avons d\u00e9j\u00e0 formul\u00e9 plusieurs\nobservations concernant l\u2019information contenue dans les documents qui ont \u00e9t\u00e9 produits \u00e0 ce jour en\nmati\u00e8re de gouvernance mais, \u00e0 l\u2019occasion d\u2019un prochain examen portant sur les COA\/COD, nous nous\npencherons plut\u00f4t sur la fa\u00e7on dont les dispositions \u00e9nonc\u00e9es dans ces documents sont concr\u00e8tement\nmises en oeuvre.<\/p>\n\n\n\n

            L\u2019information fournie par le CST n\u2019a pas \u00e9t\u00e9 v\u00e9rifi\u00e9e de fa\u00e7on ind\u00e9pendante par l\u2019OSSNR.\nOr, des travaux sont en cours pour \u00e9tablir des politiques op\u00e9rantes et des pratiques exemplaires\nfavorisant la v\u00e9rification ind\u00e9pendante d\u2019une multiplicit\u00e9 d\u2019informations, en accord avec l\u2019engagement\nde l\u2019OSSNR \u00e0 appliquer une approche qui soit ax\u00e9e sur la confiance, mais renforc\u00e9e par des mesures\nde v\u00e9rification.<\/p>\n\n\n\n

            Pouvoirs<\/h2>\n\n\n\n

            Le pr\u00e9sent examen est effectu\u00e9 en vertu des alin\u00e9as 8(1)a) et 8(1)b) de la Loi sur l\u2019Office\nde surveillance des activit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 nationale et de renseignement (Loi sur l\u2019OSSNR<\/em>).<\/p>\n\n\n\n

            Introduction<\/h2>\n\n\n\n

            Contexte de l\u2019examen et m\u00e9thodologie<\/h3>\n\n\n\n

            Depuis l\u2019entr\u00e9e en vigueur de la Loi sur le Centre de la s\u00e9curit\u00e9 des\nt\u00e9l\u00e9communications (Loi sur le CST), le 1er ao\u00fbt 2019, le CST est d\u00e9sormais autoris\u00e9 \u00e0 mener en toute\nautonomie des cyberop\u00e9rations actives (COA) et des cyberop\u00e9rations d\u00e9fensives (COD). Au cours des\npremi\u00e8res s\u00e9ances d\u2019information tenues \u00e0 l\u2019automne de 2019, l\u2019OSSNR a appris [**expurg\u00e9**]<\/strong>. Or, des repr\u00e9sentants du CST ont ensuite apport\u00e9 des pr\u00e9cisions en\nindiquant [**expurg\u00e9**]<\/strong>. Dans ce contexte, l\u2019OSSNR \u00e9valuera les COA et les COD suivant une\napproche progressive. En premier lieu, le pr\u00e9sent examen a pour objet de mieux saisir la fa\u00e7on dont\ns\u2019est d\u00e9velopp\u00e9e la structure de gouvernance du CST pour ce qui concerne les COA et les COD.\nL\u2019OSSNR encha\u00eenera avec un nouvel examen portant, cette fois, sur les op\u00e9rations. Cet examen\nult\u00e9rieur est en cours et devrait se terminer en 2022.<\/p>\n\n\n\n

            \u00c0 l\u2019occasion de ce premier examen, nous avons port\u00e9 une attention particuli\u00e8re aux\nstructures dont la vocation est de gouverner la conduite des COA et des COD. En l\u2019occurrence, la\ngouvernance pourrait correspondre \u00e0 l\u2019\u00e9tablissement de processus servant \u00e0 guider et \u00e0 g\u00e9rer la\nplanification, les engagements interminist\u00e9riels, la conformit\u00e9, la formation et la surveillance, mais aussi\nd\u2019autres questions globales qui influent sur la conduite des COA et des COD. L\u2019OSSNR reconna\u00eet que\nces structures sont appel\u00e9es \u00e0 \u00e9voluer en fonction des enseignements tir\u00e9s de l\u2019exp\u00e9rience acquise en\ncours d\u2019op\u00e9rations. En outre, les alli\u00e9s du Canada, qui disposent de pouvoirs semblables en mati\u00e8re\nde cyberop\u00e9rations depuis d\u00e9j\u00e0 un certain temps, [**expurg\u00e9**]<\/strong>. Dans le pr\u00e9sent contexte, l\u2019OSSNR\ns\u2019est donn\u00e9 pour objectif de d\u00e9terminer si, pendant ces premi\u00e8res \u00e9tapes d\u2019\u00e9laboration d\u2019une structure\nde gouvernance applicable aux COA et aux COD, le CST avait raisonnablement pris en compte et d\u00e9fini\nses obligations juridiques de m\u00eame que les aspects des COA et des COD qui pourraient influer sur la\npolitique \u00e9trang\u00e8re.<\/p>\n\n\n\n

            Dans le cadre du pr\u00e9sent examen, l\u2019OSSNR a \u00e9valu\u00e9 les documents faisant \u00e9tat des\npolitiques, des proc\u00e9dures, du syst\u00e8me de gouvernance et de la planification des op\u00e9rations, mais aussi\nles \u00e9valuations des risques ainsi que la correspondance entre le CST et Affaires mondiales\nCanada (AMC) (dont le r\u00f4le d\u00e9terminant est d\u00e9crit plus loin). L\u2019OSSNR a examin\u00e9 les tout premiers\ndocuments portant sur l\u2019\u00e9laboration de la structure de gouvernance s\u2019appliquant aux COA et aux COD.\nEn l\u2019occurrence, la fin de la p\u00e9riode d\u2019examen a co\u00efncid\u00e9 avec l\u2019\u00e9ch\u00e9ance des premi\u00e8res autorisations\nminist\u00e9rielles visant des COA et des COD, soit le 24 ao\u00fbt 2020. Ainsi, les conclusions et les\nrecommandations formul\u00e9es dans le pr\u00e9sent rapport concernent la structure de gouvernance en\nvigueur pendant la p\u00e9riode d\u2019examen.<\/p>\n\n\n\n

            Que sont les cyberop\u00e9rations actives et d\u00e9fensives?<\/h3>\n\n\n\n

            Tel qu\u2019il est \u00e9nonc\u00e9 dans la Loi sur le CST, les cyberop\u00e9rations d\u00e9fensives (COD) ont pour\nvocation de stopper ou de contenir les cybermenaces \u00e9trang\u00e8res avant qu\u2019elles n\u2019atteignent les\nsyst\u00e8mes et les r\u00e9seaux du gouvernement ou les syst\u00e8mes d\u00e9sign\u00e9s par le ministre de la D\u00e9fense\nnationale (MinDN) comme \u00e9tant importants pour le pays, notamment les infrastructures essentielles du\nCanada et les partis politiques canadiens inscrits. Quant aux cyberop\u00e9rations actives, elles permettent\nau gouvernement de recourir aux capacit\u00e9s en ligne du CST pour mener, dans le cyberespace, un\nvaste \u00e9ventail d\u2019activit\u00e9s dont l\u2019objet est d\u2019affaiblir furtivement la capacit\u00e9 d\u2019un adversaire \u00e0 nuire aux\nactivit\u00e9s du Canada en mati\u00e8re, notamment, de relations internationales, de d\u00e9fense ou de s\u00e9curit\u00e9. \u00c0\ntitre d\u2019exemple, les COA peuvent comprendre des activit\u00e9s visant \u00e0 d\u00e9sactiver les dispositifs de\ncommunication dont les membres d\u2019un r\u00e9seau de terroristes \u00e9trangers se servent pour communiquer\nou pour planifier leurs attaques. Les r\u00e9percussions des COA et des COD [**concerne des op\u00e9rations du CST**]<\/strong> d\u2019une COA ou d\u2019une COD.<\/p>\n\n\n\n

            Pour mener des COA ou des COD, le CST mise sur ses acc\u00e8s \u00e0 l\u2019infrastructure\nmondiale d\u2019information (IMI), sur une expertise en mati\u00e8re de renseignement \u00e9tranger, et sur les\npartenariats nationaux et internationaux pour acqu\u00e9rir du renseignement apte \u00e0 favoriser le\nd\u00e9roulement des COA et des COD. Les activit\u00e9s men\u00e9es dans le cadre du volet \u00ab renseignement\n\u00e9tranger \u00bb et du volet \u00ab cybers\u00e9curit\u00e9 \u00bb du mandat du CST permettent au Centre de collecter des\ninformations ayant pour objet de renseigner sur les intentions, les plans et les activit\u00e9s d\u2019auteurs\nmalveillants qui cherchent \u00e0 nuire aux int\u00e9r\u00eats du Canada. Selon le CST, la collecte pr\u00e9liminaire de\nrenseignement, le d\u00e9veloppement des capacit\u00e9s [**expurg\u00e9**]<\/strong> constituent la majeure partie du travail n\u00e9cessaire \u00e0 la tenue des COA et des COD, alors que les\nactivit\u00e9s qui ont lieu dans le cyberespace ne constituent approximativement que [**expurg\u00e9**]<\/strong> de la\ncharge de travail.<\/p>\n\n\n\n

            Fondements juridiques des cyberop\u00e9rations<\/h3>\n\n\n\n

            La Loi sur le CST fait \u00e9tat des pouvoirs l\u00e9gaux dont jouit le CST pour mener des COA\/COD.\nD\u2019ailleurs, la figure 1 pr\u00e9sente des extraits de la Loi qui d\u00e9crivent ces deux volets. En outre, le r\u00e9gime\ndes autorisations minist\u00e9rielles dont il est question dans la Loi sur le CST conf\u00e8re au Centre les pouvoirs\nn\u00e9cessaires \u00e0 l\u2019exercice des activit\u00e9s ou des cat\u00e9gories d\u2019activit\u00e9s qui sont \u00e9num\u00e9r\u00e9es \u00e0 l\u2019article 31 de\nla Loi sur le CST et qui concernent les COA\/COD.<\/p>\n\n\n\n

            Cyberop\u00e9rations d\u00e9fensives (COD)<\/h4>\n\n\n\n
              \n
            • Article 18 de la Loi sur le CST<\/em><\/li>\n\n\n\n
            • En ce qui a trait au volet de son mandat touchant les cyberop\u00e9rations\nd\u00e9fensives, le Centre m\u00e8ne des activit\u00e9s dans l'infrastructure mondiale de\nl'information ou par l'entremise de celle-ci afin d'aider \u00e0 prot\u00e9ger :
              • (a) l'information \u00e9lectronique et les infrastructures de l'information des\ninstitutions f\u00e9d\u00e9rales;<\/li><\/ul>\n
                  \n
                • (b) l'information \u00e9lectronique et les infrastructures de l'information\nd'importance pour le gouvernement f\u00e9d\u00e9ral d\u00e9sign\u00e9es comme telle [...].<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

                  Cyberop\u00e9rations actives (COA)<\/h4>\n\n\n\n
                    \n
                  • Article 19 de la Loi sur le CST<\/em><\/li>\n\n\n\n
                  • En ce qui a trait au volet de son mandat touchant les cyberop\u00e9rations actives,\nle Centre m\u00e8ne des activit\u00e9s dans l'infrastructure mondiale de l'information ou\npar l'entremise de celle-ci afin de r\u00e9duire, d'interrompre, d'influencer ou de\ncontrecarrer, selon le cas, les capacit\u00e9s, les intentions ou les activit\u00e9s de tout\n\u00e9tranger ou \u00c9tat, organisme ou groupe terroriste \u00e9trangers, dans la mesure o\u00f9\nces capacit\u00e9s, ces intentions ou ces activit\u00e9s se rapportent aux affaires\ninternationales, \u00e0 la d\u00e9fense ou \u00e0 la s\u00e9curit\u00e9, ou afin d'intervenir dans le\nd\u00e9roulement de telles intentions ou activit\u00e9s.<\/li>\n<\/ul>\n\n\n\n

                    Il importe de souligner que la Loi\nimpose des contraintes sur les COA\/COD. En\nl\u2019occurrence, il leur est interdit de cibler des\nCanadiens ou quiconque se trouve sur le territoire\ndu Canada; elles doivent respecter les termes de la\nCharte canadienne des droits et libert\u00e9s; et il leur\nest interdit de cibler l\u2019IMI au Canada.<\/p>\n\n\n\n

                    Les COA\/COD doivent \u00eatre men\u00e9es\nau titre d\u2019une autorisation minist\u00e9rielle (AM) d\u00e9livr\u00e9e\npar le MinDN conform\u00e9ment aux dispositions du\nparagraphe 29(1) (COD) ou \u00e0 celles du\nparagraphe 30(1) de la Loi sur le CST. Les AM\nautorisant les COA\/COD habilitent le CST \u00e0 mener\ndes activit\u00e9s de COA\/COD malgr\u00e9 toute autre loi\nf\u00e9d\u00e9rale ou loi d\u2019un \u00c9tat \u00e9tranger. Pour d\u00e9livrer une\nAM, le MinDN doit conclure qu\u2019il y a des motifs raisonnables de croire que l\u2019activit\u00e9 en cause est\nraisonnable et proportionnelle, et doit \u00e9galement conclure que l\u2019objectif de la cyberop\u00e9ration ne pourrait\npas \u00eatre raisonnablement atteint par d\u2019autres moyens10. De plus, le MinDN doit consulter le ministre des\nAffaires \u00e9trang\u00e8res (MAE) avant de d\u00e9livrer une AM pour les COD, mais doit obtenir le consentement\ndu MAE avant de d\u00e9livrer une AM pour les COA. Toute activit\u00e9 de COA\/COD autoris\u00e9e ne peut causer,\nintentionnellement ou par n\u00e9gligence criminelle, des l\u00e9sions corporelles \u00e0 une personne physique ou la\nmort de celle-ci; ne peut tenter intentionnellement de quelque mani\u00e8re d\u2019entraver, de d\u00e9tourner ou de\ncontrecarrer le cours de la justice ou de la d\u00e9mocratie. Il importe d\u2019ajouter que, contrairement aux AM\nd\u00e9livr\u00e9es pour le volet renseignement \u00e9tranger de m\u00eame que pour le volet cybers\u00e9curit\u00e9 et assurance\nde l\u2019information du mandat du CST, les AM visant les COA et les COD ne sont pas assujetties \u00e0\nl\u2019approbation du commissaire au renseignement.<\/p>\n\n\n\n

                    En plus des volets COA\/COD pr\u00e9vus par son mandat, le CST peut \u00e9galement fournir une\nassistance technique et op\u00e9rationnelle \u00e0 d\u2019autres minist\u00e8res du gouvernement du Canada (GC). Le\nCST peut assister les organismes f\u00e9d\u00e9raux charg\u00e9s de l\u2019application de la loi et de la s\u00e9curit\u00e9 (OALS)\naux fins de pr\u00e9vention de la criminalit\u00e9, d\u2019att\u00e9nuation des menaces pour la s\u00e9curit\u00e9 du Canada et de\nsoutien \u00e0 des missions militaires autoris\u00e9es par le GC. Lorsqu\u2019il pr\u00eate son assistance, le CST agit en\nvertu des autorisations l\u00e9gales \u2013 et des restrictions aff\u00e9rentes \u2013 conf\u00e9r\u00e9es aux organismes ou aux\nminist\u00e8res faisant appel \u00e0 ladite assistance. De m\u00eame, les personnes agissant au nom du CST jouissent\ndes m\u00eames mesures d\u2019exemption, de protection et d\u2019immunit\u00e9 que celles qui agissent au nom des\nOALS demandeurs. Les activit\u00e9s men\u00e9es aux fins de ce type d\u2019assistance seront analys\u00e9es dans le\ncadre d\u2019examens ult\u00e9rieurs de l\u2019OSSNR.<\/p>\n\n\n\n

                    Outre la Loi sur le CST, le droit international est pris en compte dans le cadre juridique\ns\u2019appliquant aux activit\u00e9s de COA\/COD. Les activit\u00e9s du CST sont li\u00e9es par le droit international\ncoutumier dans la mesure o\u00f9 le droit canadien adopte ipso facto le droit international coutumier par\nl\u2019interm\u00e9diaire de la common law, sauf en cas d\u2019incompatibilit\u00e9 entre les lois.<\/p>\n\n\n\n

                    L\u2019OSSNR note que le droit international en mati\u00e8re de cyberespace est un domaine en\nd\u00e9veloppement. Dans cette sph\u00e8re du droit, la pratique des \u00c9tats est limit\u00e9e, les opinions de droit\n(postulats selon lesquels les \u00c9tats estiment que ce type de pratique correspond \u00e0 une obligation\njuridique) sont rares et le droit des trait\u00e9s (pr\u00e9cisions sur les modalit\u00e9s d\u2019application du droit international\nau cyberespace) n\u2019en est qu\u2019\u00e0 ses balbutiements. De plus, bien qu\u2019il ait fait valoir que le droit\ninternational s\u2019appliquait au cyberespace, le Canada n\u2019a pas encore d\u00e9fini sa propre vision quant \u00e0\nl\u2019application du droit international aux activit\u00e9s du cyberespace16. Or, le Canada s\u2019est engag\u00e9 \u00e0\npromouvoir l\u2019\u00e9tablissement d\u2019une vision commune \u00e0 tous les \u00c9tats pour ce qui a trait \u00e0 des normes\nvolontaires et non contraignantes favorisant le comportement responsable des \u00c9tats dans le\ncyberespace. Ainsi, l\u2019OSSNR suivra de pr\u00e8s le d\u00e9veloppement de cette sph\u00e8re du droit international,\nnotamment, les pratiques observ\u00e9es par les \u00c9tats \u00e0 l\u2019\u00e9gard des activit\u00e9s de COA\/COD du CST. Dans\nle cadre du prochain examen visant les activit\u00e9s de COA\/COD, l\u2019OSSNR se penchera, cette fois, sur la\nfa\u00e7on dont le CST et AMC tiennent compte du droit international en vigueur.<\/p>\n\n\n\n

                    Cadre politique s\u2019appliquant aux cyberop\u00e9rations<\/h3>\n\n\n\n

                    Pr\u00e9paration d\u2019un cadre de consultation entre AMC et le CST<\/h4>\n\n\n\n

                    Il est possible que les COA\/COD accroissent le niveau de risque pour la politique \u00e9trang\u00e8re\net les relations internationales du Canada. Bien que le volet renseignement \u00e9tranger du CST ne vise\nqu\u2019\u00e0 collecter des informations, les COA\/COD [**expurg\u00e9**]<\/strong>, [**expurg\u00e9**]<\/strong>.\nComme AMC est le minist\u00e8re responsable des affaires internationales et de la politique\n\u00e9trang\u00e8re du Canada, le MAE est appel\u00e9, en vertu de la loi, \u00e0 tenir un r\u00f4le lorsqu\u2019il s\u2019agit de consentir\n\u00e0 ce que le MinDN d\u00e9livre une autorisation minist\u00e9rielle pour des COA.<\/p>\n\n\n\n

                    Conform\u00e9ment aux directives du MAE, le CST et AMC ont uni leurs efforts pour cr\u00e9er un\ncadre de collaboration sur les questions ayant trait aux COA\/COD. Le CST et AMC se sont mobilis\u00e9s\nsur ces questions avant l\u2019entr\u00e9e en vigueur de la Loi sur le CST<\/em>, de sorte \u00e0 recenser les exigences\n\u00e9nonc\u00e9es dans la Loi en mati\u00e8re de consultation et de consentement. Ensemble, le CST et AMC ont\nmis sur pied divers organes interminist\u00e9riels appel\u00e9s \u00e0 se pencher sur les COA\/COD dans le but de\nfaciliter le processus de consultation aux divers niveaux, notamment, les groupes de travail constitu\u00e9s\nau niveau des directeurs g\u00e9n\u00e9raux et du sous-ministre adjoint.<\/p>\n\n\n\n

                    Structure de gouvernance du CST<\/h4>\n\n\n\n

                    L\u2019Ensemble des politiques relatives \u00e0 la mission (EPM) du CST d\u00e9crit en d\u00e9tail les pouvoirs\npermettant d\u2019orienter les COA\/COD, les activit\u00e9s interdites en cours de COA\/COD \u2013 de m\u00eame que les\nconsignes permettant d\u2019interpr\u00e9ter ces interdictions \u2013 et le cadre de gouvernance suivant lequel il\nconvient de surveiller le d\u00e9roulement et la conduite des COA\/COD, cadre d\u00e9sign\u00e9 par l\u2019appellation\nCadre de pouvoirs et de planification commun (CPPC). La structure g\u00e9n\u00e9rale du cadre de\ngouvernance et des processus connexes a \u00e9t\u00e9 con\u00e7ue pour \u00eatre employ\u00e9e dans toutes les COA\/COD,\ntous niveaux de risque confondus. Toutefois, c\u2019est en fonction du niveau de risque que ledit cadre \u00e9tablit\nles divers niveaux d\u2019approbation.<\/p>\n\n\n\n

                    Pendant la p\u00e9riode consacr\u00e9e \u00e0 l\u2019examen, le CPPC comportait plusieurs des \u00e9l\u00e9ments\nn\u00e9cessaires \u00e0 la planification, \u00e0 l\u2019approbation et \u00e0 la conduite des op\u00e9rations. Le principal instrument\nde planification \u00e9tait [**expurg\u00e9**]<\/strong> lequel d\u00e9crit les [**expurg\u00e9**]<\/strong>\nde m\u00eame que [**expurg\u00e9**]<\/strong>\ntout en mettant en \u00e9vidence les risques et les mesures d\u2019att\u00e9nuation correspondantes.\n[**expurg\u00e9**]<\/strong> sert \u00e0 d\u00e9terminer et\n\u00e0 \u00e9noncer l\u2019\u00e9ventail des risques associ\u00e9s \u00e0 toute nouvelle activit\u00e9. Durant la p\u00e9riode d\u2019examen, le CST \na \u00e9labor\u00e9 [**expurg\u00e9**]<\/strong>. L\u2019OSSNR a \u00e9galement re\u00e7u des\ndocuments semblables [**expurg\u00e9**]<\/strong> ne co\u00efncidant pas avec la p\u00e9riode d\u2019examen, mais\ncontenant des informations pertinentes sur la structure de gouvernance et le niveau op\u00e9rationnel.<\/p>\n\n\n\n

                    Deux principaux groupes de travail ont pour objet d\u2019\u00e9valuer et, le cas \u00e9ch\u00e9ant, d\u2019approuver,\nles plans internes visant les COA\/COD. Le Groupe pour les cyberop\u00e9rations (GCO) est un organe\nd\u2019approbation au niveau des directeurs; il regroupe les principaux intervenants et est pr\u00e9sid\u00e9 par le\ndirecteur du secteur op\u00e9rationnel ayant initi\u00e9 ou parrain\u00e9 la demande de cyberop\u00e9rations. Le r\u00f4le du\nGCO est d\u2019examiner le plan op\u00e9rationnel et d\u2019en jauger les risques ainsi que les avantages. Le GCO\npeut approuver [**expurg\u00e9**]<\/strong> il peut \u00e9galement faire approuver ces \u00e9l\u00e9ments par le Groupe de gestion des cyberop\u00e9rations (GGCO), s\u2019il y\na lieu. Le GGCO est un organe d\u2019approbation qui se situe au niveau des directeurs g\u00e9n\u00e9raux (DG) et\nqui est mis sur pied [**expurg\u00e9**]<\/strong> a \u00e9t\u00e9 examin\u00e9 et recommand\u00e9 par le GCO.<\/p>\n\n\n\n

                    Ensuite, le CST pr\u00e9pare [**concerne des op\u00e9rations du CST**]<\/strong>\nest examin\u00e9e en interne pour s\u2019assurer\nqu\u2019elle correspond \u00e0 la teneur [**expurg\u00e9**]<\/strong> elle est ensuite approuv\u00e9e au niveau des\ndirecteurs, bien que le CST ait indiqu\u00e9 que l\u2019approbation pourrait \u00eatre d\u00e9l\u00e9gu\u00e9e \u00e0 un gestionnaire.<\/p>\n\n\n\n

                    Constatations et recommandations<\/h2>\n\n\n\n

                    Clart\u00e9 des autorisations minist\u00e9rielles<\/h3>\n\n\n\n

                    L\u2019OSSNR avait entrepris de d\u00e9terminer si les exigences au titre de la Loi sur le CST <\/em>relativement aux COA\/COD se traduisent convenablement dans les AM du MinDN autorisant la tenue\nd\u2019activit\u00e9s de COA\/COD et si le CST a bien consult\u00e9 le MAE et obtenu son consentement, comme\nl\u2019exige la Loi.<\/p>\n\n\n\n

                    L\u2019OSSNR s\u2019est pench\u00e9 sur deux AM portant respectivement sur des COA et des COD et\nvalides du [**expurg\u00e9**]<\/strong>. Notamment, les deux AM n\u2019approuvaient que des\nCAO\/COD [**expurg\u00e9**]<\/strong>. De plus, l\u2019OSSNR a examin\u00e9 des documents en\nappui des AM, y compris les demandes pr\u00e9sent\u00e9es par le chef au MinDN et les lettres de confirmation\nconnexes du MAE, ainsi que les documents de travail et la correspondance fournis par le CST et\nAffaires mondiales Canada (AMC).<\/p>\n\n\n\n

                    Les AM examin\u00e9es par l\u2019OSSNR \u00e9non\u00e7aient les nouveaux pouvoirs conf\u00e9r\u00e9s au titre de la\nLoi sur le CST et d\u00e9finissaient les conditions s\u2019appliquant \u00e0 la tenue des COA\/COD, ainsi que les\ninterdictions indiqu\u00e9es dans la Loi. De plus, les AM demandaient que les activit\u00e9s de COA\/COD soient\nharmonis\u00e9es aux priorit\u00e9s du Canada en mati\u00e8re de politique \u00e9trang\u00e8re et tiennent compte des priorit\u00e9s\nstrat\u00e9giques du gouvernement du Canada en mati\u00e8re de s\u00e9curit\u00e9 nationale, de politique \u00e9trang\u00e8re et\nde d\u00e9fense.<\/p>\n\n\n\n

                    Informations recueillies au titre d\u2019autorisations pr\u00e9c\u00e9dentes en appui des cyberop\u00e9rations<\/h4>\n\n\n\n

                    Le CST a re\u00e7u l\u2019autorisation de mener des COA\/COD \u00e0\nl\u2019\u00e9poque o\u00f9 la collecte de renseignements \u00e9lectromagn\u00e9tiques (SIGINT) \u00e9trangers \u00e9tait autoris\u00e9e par des AM d\u00e9livr\u00e9es en application de la Loi sur la d\u00e9fense nationale. [**expurg\u00e9**]<\/strong>. Le CST a\nconfirm\u00e9 \u00e0 l\u2019OSSNR que les COA\/COD [**expurg\u00e9**]<\/strong> reposaient\nuniquement sur des informations recueillies au titre des AM d\u00e9livr\u00e9es en application de la Loi sur le\nCST. [**expurg\u00e9**]<\/strong> le CST a fait valoir que [**expurg\u00e9**]<\/strong>. L\u2019OSSNR le confirmera dans le cadre de son examen ult\u00e9rieur de COA\/COD\npr\u00e9cises.<\/p>\n\n\n\n

                    Consultation du ministre des Affaires \u00e9trang\u00e8res par le CST<\/h4>\n\n\n\n

                    Le CST a fourni \u00e0 AMC les dossiers complets de demande d\u2019AM pour les COA\/COD en\nplace durant la p\u00e9riode \u00e0 l\u2019examen. De plus, les repr\u00e9sentants d\u2019AMC et du CST ont nou\u00e9 le dialogue\n\u00e0 diff\u00e9rents niveaux avant l\u2019entr\u00e9e en vigueur de la Loi sur le CST et pendant l\u2019\u00e9laboration des AM,\nparticuli\u00e8rement pour ce qui est de l\u2019\u00e9valuation des cat\u00e9gories d\u2019activit\u00e9s qui y sont autoris\u00e9es. Dans\nsa r\u00e9ponse au dossier de demande d\u2019AM du CST, le MAE a fourni des lettres confirmant qu\u2019il avait \u00e9t\u00e9\nconsult\u00e9 et qu\u2019il consentait aux AM de COA et de COD respectivement. L\u2019OSSNR est ravi de constater\ncette collaboration rapide et rigoureuse de la part des deux organisations, \u00e9tant donn\u00e9 le lien entre\nleurs mandats respectifs dans le contexte des COA\/COD.<\/p>\n\n\n\n

                    Les deux lettres du MAE soulignent l\u2019utilit\u00e9 des COA\/COD [**expurg\u00e9**]<\/strong> du gouvernement du Canada, expliquant l\u2019importance de faire preuve de prudence concernant\nce moyen dans les premi\u00e8res \u00e9tapes. Notamment, le MAE attire l\u2019attention sur les cat\u00e9gories d\u2019activit\u00e9s\n\u00ab soigneusement d\u00e9finies \u00bb dans l\u2019AM de COA pour garantir que les activit\u00e9s autoris\u00e9es au titre de l\u2019AM\npr\u00e9sentaient [**expurg\u00e9**]<\/strong>. Enfin, le MAE a charg\u00e9 ses\nrepr\u00e9sentants de travailler avec le CST pour mettre en place un cadre de collaboration entourant les [**expurg\u00e9**]<\/strong>. Cette directive du MAE concorde avec le point de vue d\u2019AMC sur l\u2019importance d\u2019assurer la coh\u00e9rence des activit\u00e9s du CST avec la politique \u00e9trang\u00e8re\ndu Canada et le fait que l\u2019AM ou un autre m\u00e9canisme devrait le garantir.<\/p>\n\n\n\n

                    Port\u00e9e et \u00e9tendue des autorisations minist\u00e9rielles<\/h4>\n\n\n\n

                    L\u2019AM de COA [**concerne la politique op\u00e9rationnelle du CST**]<\/strong> d\u00e9livr\u00e9e en vertu de l\u2019article 31 de\nla Loi sur le CST a autoris\u00e9 des cat\u00e9gories d\u2019activit\u00e9s, y compris :<\/p>\n\n\n\n

                      \n
                    • [**expurg\u00e9**]<\/strong> se m\u00ealer des [**expurg\u00e9**]<\/strong> d\u2019une cible ou des \u00e9l\u00e9ments de l\u2019infrastructure\nmondiale de l\u2019information;<\/li>\n\n\n\n
                    • [**expurg\u00e9**]<\/strong><\/li>\n\n\n\n
                    • [**expurg\u00e9**]<\/strong><\/li>\n\n\n\n
                    • perturber la capacit\u00e9 d\u2019un auteur de menace d\u2019utiliser certaines infrastructures.<\/li>\n<\/ul>\n\n\n\n

                      L\u2019AM pour la COD [**concerne des op\u00e9rations du CST**]<\/strong> autorisait les m\u00eames activit\u00e9s,\n\u00e0 l\u2019exception de la derni\u00e8re cat\u00e9gorie, [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                      Les AM pour les COA\/COD stipulaient que le CST devait mener les COA\/COD [**d\u2019une\ncertaine fa\u00e7on**]<\/strong>. Selon l\u2019AM de COA, ce sont ces conditions\nqui, si elles sont respect\u00e9es, font en sorte que les COA\/COD men\u00e9es au titre de ces AM comportent [**expurg\u00e9**]<\/strong>. Bien qu\u2019AMC \u00e9value les risques en mati\u00e8re de politique\n\u00e9trang\u00e8re plut\u00f4t sur le plan op\u00e9rationnel, les AM \u00e9labor\u00e9es pendant la p\u00e9riode \u00e0 l\u2019examen n\u2019imposaient\nque deux conditions \u00e0 respecter lors de la tenue des COA\/COD. De plus, c\u2019est au CST qu\u2019il revient de\nd\u00e9terminer les crit\u00e8res permettant de respecter ces conditions g\u00e9n\u00e9rales; l\u2019AM demande seulement au\nCST d\u2019en faire rapport. L\u2019OSSNR ajoute que ces conditions ne comprennent aucune variable sur le\nplan de la politique \u00e9trang\u00e8re, [**expurg\u00e9**]<\/strong>. Pour que soit\nconfirm\u00e9 le risque [**expurg\u00e9**]<\/strong> d\u2019une op\u00e9ration pour la politique \u00e9trang\u00e8re, l\u2019OSSNR est d\u2019avis qu\u2019il est\nimportant que les AM \u00e9tablissent le calcul des facteurs de risque en mati\u00e8re de politique \u00e9trang\u00e8re.<\/p>\n\n\n\n

                      [**expurg\u00e9**]<\/strong> indiquant :<\/p>\n\n\n\n

                      [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                      Le CST semble avoir r\u00e9pondu [**concerne des op\u00e9rations du CST**]<\/strong>. En outre, la capacit\u00e9 du ministre \u00e0 \u00e9valuer les activit\u00e9s autoris\u00e9es\naux termes de la Loi sur le CST pourrait \u00e9galement \u00eatre touch\u00e9e. Pour cette \u00e9valuation, la demande\nd\u2019AM doit contenir suffisamment de d\u00e9tails pour que le ministre soit convaincu que les exigences sont\nremplies.<\/p>\n\n\n\n

                      Les cat\u00e9gories des activit\u00e9s de COA\/COD, dont certaines sont expos\u00e9es au\nparagraphe 27, sont grandement g\u00e9n\u00e9ralis\u00e9es. Par exemple, presque toutes les activit\u00e9s men\u00e9es dans\nle cyberespace peuvent \u00eatre raisonnablement plac\u00e9es dans la cat\u00e9gorie [**expurg\u00e9**]<\/strong> ou se m\u00ealer [**expurg\u00e9**]<\/strong>\ndes \u00e9l\u00e9ments de l\u2019infrastructure mondiale de l\u2019information \u00bb. [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                      Effectivement, les discussions pr\u00e9liminaires entre le CST et AMC ont attir\u00e9 l\u2019attention sur\nle fait que [**expurg\u00e9**]<\/strong> et de contenu [traduction] \u00ab soulevaient des\nquestions complexes \u00bb, bien que l\u2019OSSNR pr\u00e9cise que de telles activit\u00e9s sont n\u00e9anmoins autoris\u00e9es\ndans l\u2019AM d\u00e9finitive de COA dans la cat\u00e9gorie d\u2019activit\u00e9s [traduction] [**expurg\u00e9**]<\/strong>.\n Autrement dit, l\u2019autorisation d\u2019une\ncat\u00e9gorie d\u2019activit\u00e9s [**expurg\u00e9**]<\/strong> a \u00e9t\u00e9 int\u00e9gr\u00e9e dans une\ncat\u00e9gorie encore plus vaste d\u2019activit\u00e9s, sans [**expurg\u00e9**]<\/strong> \u00e9vidente [**expurg\u00e9**]<\/strong> qui y \u00e9taient\nli\u00e9s. Ce type de cat\u00e9gorisation ne permet pas une communication suffisante de l\u2019information pour que\nle ministre saisisse les activit\u00e9s [**expurg\u00e9**]<\/strong> qui pourraient \u00eatre men\u00e9es au titre de l\u2019AM.<\/p>\n\n\n\n

                      En revanche, les techniques et exemples connexes \u00e9nonc\u00e9s dans les demandes sont les\nseuls moyens qui permettent de pr\u00e9ciser les types d\u2019activit\u00e9s pouvant avoir lieu dans le cadre d\u2019une\nCOA\/COD. Ces exemples servent de fondement au MinDN pour \u00e9valuer les cat\u00e9gories d\u2019activit\u00e9s dont\nil est question dans la demande d\u2019AM. Dans les \u00e9changes pr\u00e9liminaires entre le CST et AMC, les\ncat\u00e9gories d\u2019activit\u00e9s \u00e9taient d\u00e9crites et analys\u00e9es conjointement avec les techniques employ\u00e9es dans\nleur ex\u00e9cution. Par exemple, il a \u00e9t\u00e9 not\u00e9 que [**expurg\u00e9**]<\/strong>, ce qui a fourni plus d\u2019information \u00e0 l\u2019OSSNR en ce qui a trait aux actions\nqui se trouvaient exactement dans la cat\u00e9gorie d\u2019activit\u00e9s. L\u2019OSSNR ajoute que m\u00eame ces techniques et exemples sont d\u00e9crits dans les demandes comme faisant partie d\u2019une liste non exhaustive, ce qui\npourrait permettre au CST de mener des activit\u00e9s qui ne sont pas pr\u00e9cis\u00e9ment d\u00e9finies dans les\ndemandes.<\/p>\n\n\n\n

                      De m\u00eame, la cible des activit\u00e9s de COA\/COD est habituellement d\u00e9sign\u00e9e comme un\n\u00ab acteur \u00e9tranger \u00bb, ce qui pourrait englober un large \u00e9ventail de [**expurg\u00e9**]<\/strong>\n. Dans les d\u00e9buts de l\u2019\u00e9laboration de l\u2019AM, le CST et AMC avaient abord\u00e9 [**expurg\u00e9**]<\/strong>\ndirectement dans les AM, mais\nAMC a pr\u00e9cis\u00e9 que [**expurg\u00e9**]<\/strong> visaient principalement [**expurg\u00e9**]<\/strong> \u00e9tant donn\u00e9 [**expurg\u00e9**]<\/strong>\n. AMC a\npr\u00e9cis\u00e9 que l\u2019AM de COA [traduction] \u00ab d\u00e9finirait [mieux] [**expurg\u00e9**]<\/strong> dans une certaine\nmesure \u00bb. Ni l\u2019une ni l\u2019autre de ces consid\u00e9rations ne figurait dans les AM d\u00e9finitives [**expurg\u00e9**]<\/strong>\n qui, d\u2019apr\u00e8s les explications du CST, ne se limitent pas aux activit\u00e9s [**expurg\u00e9**]<\/strong>\n, c\u2019est-\u00e0-dire que [**expurg\u00e9**]<\/strong>\n. L\u2019OSSNR estime que les\nAM devraient d\u00e9finir clairement les cibles des activit\u00e9s de COA\/COD, [**expurg\u00e9**]<\/strong> les COA\/COD [**expurg\u00e9**]<\/strong>\n\u00e0 des ensembles pr\u00e9cis de cibles [**expurg\u00e9**]<\/strong> afin que les activit\u00e9s\npermises par l\u2019AM traduisent le [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                      L\u2019OSSNR souligne que seules les AM, et non les demandes connexes, donnent au CST\nl\u2019autorisation de mener ses activit\u00e9s. Par cons\u00e9quent, l\u2019exclusion de cette information des AM signifie\nque seules les grandes cat\u00e9gories d\u2019activit\u00e9s, telles qu\u2019elles sont d\u00e9crites dans les AM, guident les\nmesures que peut prendre le CST dans le cadre de COA et non pas les techniques et exemples\n\u00e9nonc\u00e9s dans les demandes qui servent de fondement \u00e0 la norme sur laquelle s\u2019appuie le risque des\nactivit\u00e9s. Selon l\u2019OSSNR, les cat\u00e9gories d\u00e9crites dans les AM ne restreignent pas suffisamment les\nactivit\u00e9s du CST [**concerne des op\u00e9rations du CST**]<\/strong>.\nM\u00eame\nsi, aux dires d\u2019AMC, les processus de consultation interminist\u00e9rielle entre les deux organisations\npeuvent servir de m\u00e9canisme limitant les activit\u00e9s du CST, ces processus n\u2019ont pas \u00e9t\u00e9 nettement\nconsign\u00e9s dans les AM les autorisant. L\u2019OSSNR est d\u2019avis que des AM pour les COA\/COD plus\npr\u00e9cises r\u00e9duiraient la possibilit\u00e9 de confusion relativement aux activit\u00e9s pr\u00e9cis\u00e9ment autoris\u00e9es.<\/p>\n\n\n\n

                      La m\u00e9thode visant \u00e0 pr\u00e9ciser les cat\u00e9gories d\u2019activit\u00e9s concorde avec la fa\u00e7on de faire\nhabituelle du CST li\u00e9e \u00e0 l\u2019obtention d\u2019autorisations larges de la part de hauts dirigeants comme le ministre, accompagn\u00e9es de mesures de contr\u00f4le plus pr\u00e9cises qui guident les op\u00e9rations \u00e0 ex\u00e9cuter\nen fonction des limites de l\u2019activit\u00e9 autoris\u00e9e. AMC note la tendance \u00e0 s\u2019appuyer sur des autorisations\nplus pr\u00e9cises selon [**expurg\u00e9**]<\/strong> vis\u00e9e par la demande d\u2019autorisation. Le\nCST a expliqu\u00e9 que son approche lui permettait d\u2019obtenir l\u2019autorisation de mener des activit\u00e9s de fa\u00e7on\n\u00e0 [traduction] \u00ab apporter une souplesse maximisant les occasions, mais \u00e9galement des r\u00e9serves\nsuffisantes pour assurer l\u2019att\u00e9nuation appropri\u00e9e des risques. \u00bb<\/p>\n\n\n\n

                      Bien que l\u2019OSSNR reconnaisse que les AM doivent donner au CST suffisamment de jeu\npour qu\u2019il m\u00e8ne des COA\/COD [**expurg\u00e9**]<\/strong> s\u2019il le faut, il est important que\nle CST ne m\u00e8ne pas d\u2019activit\u00e9s qui n\u2019\u00e9taient pas envisag\u00e9es ni autoris\u00e9es par le MinDN ou le MAE lors\nde la d\u00e9livrance des AM applicables. Toujours selon l\u2019OSSNR, dans le contexte des COA\/COD [**expurg\u00e9**]<\/strong>\n, le CST peut adopter une approche plus transparente qui pr\u00e9ciserait les cat\u00e9gories d\u2019activit\u00e9s\nqu\u2019il demande au ministre d\u2019autoriser. C\u2019est tout particuli\u00e8rement important \u00e9tant donn\u00e9 que le CST\nutilise ces nouvelles autorisations depuis peu. L\u2019autorisation de cat\u00e9gories d\u2019activit\u00e9s, de techniques\nconnexes et d\u2019ensembles de cibles plus pr\u00e9cis diminuerait la possibilit\u00e9 que les COA\/COD [**expurg\u00e9**]<\/strong>\ndans les AM.<\/p>\n\n\n\n

                      Le CST a indiqu\u00e9 que [traduction] \u00ab des objectifs clairs permettent fondamentalement de\nmontrer le caract\u00e8re raisonnable et la proportionnalit\u00e9. \u00bb L\u2019OSSNR partage le m\u00eame avis et croit que\nles cat\u00e9gories d\u2019activit\u00e9s et les objectifs d\u00e9crits dans les AM et les demandes connexes devraient \u00eatre\nplus explicites afin que le MinDN puisse confirmer le caract\u00e8re raisonnable et la proportionnalit\u00e9 des\nCOA\/COD, d\u2019autant plus que les AM \u00e9tudi\u00e9es dans le cadre du pr\u00e9sent examen ne se rapportaient pas\npr\u00e9cis\u00e9ment \u00e0 une op\u00e9ration. Dans le cadre de l\u2019autorisation, le ministre exige \u00e9galement que le CST\nlui fournisse un rapport trimestriel sur les activit\u00e9s qui ont \u00e9t\u00e9 men\u00e9es. De plus, pour d\u00e9livrer une autorisation, le MinDN doit \u00eatre convaincu que les activit\u00e9s sont\nraisonnables et proportionnelles, et qu\u2019il y a des motifs raisonnables de croire que l\u2019objectif de la\ncyberop\u00e9ration ne peut raisonnablement \u00eatre atteint d\u2019une autre mani\u00e8re. Cette exigence met\ndavantage l\u2019accent sur la n\u00e9cessit\u00e9 que le MinDN comprenne, dans une certaine pr\u00e9cision, les types\nd\u2019activit\u00e9s et les objectifs ex\u00e9cut\u00e9s en application de l\u2019autorisation.<\/p>\n\n\n\n

                      Dans le cas des deux AM examin\u00e9es, le ministre a conclu que les exigences \u00e9nonc\u00e9es au\nparagraphe 34(4) de la Loi sur le CST \u00e9taient satisfaites57. De plus, les AM \u00e9noncent les objectifs \u00e0\natteindre par les COA\/COD. Toutefois, la justification selon laquelle les objectifs ne pourraient \u00eatre\nraisonnablement atteints d\u2019une autre mani\u00e8re dans les limites de l\u2019AM de COA est tr\u00e8s vague et se\nconcentre sur les strat\u00e9gies d\u2019att\u00e9nuation g\u00e9n\u00e9rales des activit\u00e9s de cybermenace. \u00c9tant donn\u00e9 la\nraret\u00e9 des d\u00e9tails fournis au ministre dans le pr\u00e9sent cadre, il pourrait \u00eatre difficile pour le MinDN de\nsatisfaire \u00e0 cette exigence l\u00e9gislative. En ce qui a trait au seuil \u00e9tabli par le paragraphe 34(4) de la Loi\nsur le CST, le Centre a indiqu\u00e9 que [traduction] \u00ab la demande d\u2019autorisation doit \u00e9noncer les faits qui\nexpliquent comment chacune des activit\u00e9s d\u00e9crites dans l\u2019autorisation fait partie d\u2019un plus grand\nensemble d\u2019activit\u00e9s individuelles ou d\u2019une cat\u00e9gorie d\u2019activit\u00e9s qui atteint un objectif ne pouvant pas\n\u00eatre raisonnablement atteint d\u2019une autre mani\u00e8re58. \u00bb Dans son prochain examen des COA\/COD,\nl\u2019OSSNR tentera de d\u00e9terminer si les COA\/COD concordent avec les objectifs \u00e9tablis dans l\u2019AM et se penchera sur la d\u00e9termination, par le CST, qu\u2019ils n\u2019auraient pas pu \u00eatre raisonnablement atteints d\u2019une\nautre mani\u00e8re.<\/p>\n\n\n\n

                      Conclusion no 1 : Les demandes d\u2019autorisation minist\u00e9rielle pour les cyberop\u00e9rations\nactives et d\u00e9fensives n\u2019offrent pas suffisamment de d\u00e9tails pour que les ministres concern\u00e9s\ncomprennent l\u2019\u00e9tendue des cat\u00e9gories d\u2019activit\u00e9s demand\u00e9es dans l\u2019autorisation. De m\u00eame,\nl\u2019autorisation minist\u00e9rielle ne d\u00e9finit pas suffisamment les cat\u00e9gories d\u2019activit\u00e9s, les techniques\nconnexes et les ensembles de cibles \u00e0 utiliser dans l\u2019ex\u00e9cution des op\u00e9rations.<\/p>\n\n\n\n

                      Conclusion no 2 : L\u2019\u00e9valuation des risques pour la politique \u00e9trang\u00e8re exig\u00e9e suivant deux\nconditions des autorisations minist\u00e9rielles pour les cyberop\u00e9rations actives et d\u00e9fensives\nrepose trop sur la d\u00e9termination technique des risques au d\u00e9triment des \u00e9l\u00e9ments qui\ncaract\u00e9risent la politique \u00e9trang\u00e8re du gouvernement du Canada.<\/p>\n\n\n\n

                      Recommandation no 1 : L\u2019OSSNR recommande que le CST d\u00e9finisse plus pr\u00e9cis\u00e9ment\nles cat\u00e9gories d\u2019activit\u00e9s, les techniques connexes et les ensembles de cibles employ\u00e9s dans\nle cadre des cyberop\u00e9rations actives et d\u00e9fensives, ainsi que les motifs et objectifs\nsous-jacents, tant dans les demandes que dans les autorisations minist\u00e9rielles pour ces\nactivit\u00e9s.<\/p>\n\n\n\n

                      Recommandation no 2 : L\u2019OSSNR recommande qu\u2019AMC inclue, dans les autorisations\nminist\u00e9rielles, un m\u00e9canisme d\u2019\u00e9valuation de tous les param\u00e8tres des risques pour la\npolitique \u00e9trang\u00e8re d\u00e9coulant des cyberop\u00e9rations actives et d\u00e9fensives.<\/p>\n\n\n\n

                      \u00c9laboration des demandes d\u2019AM [**expurg\u00e9**]<\/strong><\/h4>\n\n\n\n

                      Au cours de la p\u00e9riode \u00e0 l\u2019examen, le CST a pr\u00e9par\u00e9 des demandes d\u2019AM pour ce qu\u2019il\nconsid\u00e9rait comme \u00e9tant des COA\/COD [**expurg\u00e9**]<\/strong> dont l\u2019\u00e9laboration a \u00e9t\u00e9 prioritaire [**concerne des op\u00e9rations du CST****]<\/strong>\n. Alors que se d\u00e9veloppent les\nmoyens dont le CST dispose pour mener des COA\/COD et que le Centre commence \u00e0\n[**expurg\u00e9**]<\/strong>.\nL\u2019OSSNR a constat\u00e9 que le CST et AMC envisageaient les COA repr\u00e9sentant un [**expurg\u00e9**]<\/strong>, lesquelles, si elles sont ex\u00e9cut\u00e9es, [**expurg\u00e9**]<\/strong> selon la\nm\u00e9thodologie d\u2019AMC.<\/p>\n\n\n\n

                      Bien que les AM que l\u2019OSSNR a obtenues \u00e0 ce jour, lesquelles ne se rapportent pas\npr\u00e9cis\u00e9ment \u00e0 une op\u00e9ration, permettent au CST de mener\n, l\u2019OSSNR estime que leur nature g\u00e9n\u00e9rale ne se transf\u00e8re pas [**AM potentielles de nature diff\u00e9rentes**]<\/strong>.\nPar exemple, [**\nd\u2019une inqui\u00e9tude de l\u2019OSSNR concernant l\u2019habilit\u00e9 du Ministre \u00e0 analyser pleinement certains facteurs des\ndescription\ncyberop\u00e9rations dans un contexte particulier**]<\/strong>\nDans\nle cadre de l\u2019\u00e9laboration de la demande d\u2019AM de COA de 2019-2020, AMC a indiqu\u00e9 que\n[traduction] \u00ab d\u2019autres fins demanderaient d\u2019autres AM. Elles ne seront pas compl\u00e8tement g\u00e9n\u00e9rales;\nelles seront pr\u00e9cises pour un contexte donn\u00e9. \u00bb<\/p>\n\n\n\n

                      En outre, dans le r\u00e9gime l\u00e9gislatif actuel, les demandes d\u2019AM repr\u00e9sentent un m\u00e9canisme\ncl\u00e9 donnant au MAE l\u2019occasion d\u2019\u00e9valuer les activit\u00e9s de COA\/COD. En raison des [**expurg\u00e9**]<\/strong>\nCOA\/COD [**expurg\u00e9**]<\/strong> pour la politique \u00e9trang\u00e8re et les relations\ninternationales du Canada, l\u2019OSSNR estime que le MAE devrait participer plus directement \u00e0\nl\u2019\u00e9laboration et \u00e0 l\u2019ex\u00e9cution \u00e0 l\u2019\u00e9chelle minist\u00e9rielle, en plus de l\u2019engagement sur le terrain des\nop\u00e9rations entre le CST et AMC. Les deux ministres peuvent assurer plus efficacement leur\nresponsabilisation relative \u00e0 de telles op\u00e9rations au moyen d\u2019AM individuelles qui donnent des d\u00e9tails\npr\u00e9cis sur l\u2019op\u00e9ration et sa justification, et sur les activit\u00e9s, outils et techniques employ\u00e9s. Par\ncons\u00e9quent, lorsque le CST se penche sur des COA [**expurg\u00e9**]<\/strong> l\u2019OSSNR\nl\u2019encourage \u00e0 \u00e9laborer des demandes d\u2019AM propres \u00e0 ces op\u00e9rations et \u00e0 veiller \u00e0 ce que ces\ndocuments contiennent tous les d\u00e9tails op\u00e9rationnels pertinents permettant \u00e0 chaque ministre d\u2019\u00e9valuer\npleinement les r\u00e9percussions et les risques li\u00e9s \u00e0 chaque cyberop\u00e9ration et d\u2019en prendre la\nresponsabilit\u00e9.<\/p>\n\n\n\n

                      Orientation strat\u00e9gique des cyberop\u00e9rations<\/h4>\n\n\n\n

                      L\u2019article 19 de la Loi sur le CST r\u00e9git les pouvoirs du CST quant \u00e0 la conduite de COA qui\nse rapportent aux affaires internationales, \u00e0 la d\u00e9fense ou \u00e0 la s\u00e9curit\u00e9, donc \u00e0 des domaines qui\npeuvent faire appel \u00e0 la responsabilit\u00e9 d\u2019autres minist\u00e8res et organismes. Qui plus est, les AM\nexamin\u00e9es par l\u2019OSSNR exigent que les COA soient [traduction] \u00ab harmonis\u00e9es aux priorit\u00e9s du\nCanada en mati\u00e8re de politique \u00e9trang\u00e8re et tiennent compte des priorit\u00e9s strat\u00e9giques du\ngouvernement du Canada li\u00e9es \u00e0 la s\u00e9curit\u00e9 nationale, \u00e0 la politique \u00e9trang\u00e8re et \u00e0 la d\u00e9fense \u00bb. L\u2019\u00e9tablissement de ces priorit\u00e9s fait intervenir plusieurs minist\u00e8res f\u00e9d\u00e9raux du Canada, comme le\nBureau du Conseil priv\u00e9 (BCP), le MDN et S\u00e9curit\u00e9 publique Canada (SP), qui sont responsables de la\ncoordination et de la surveillance de diff\u00e9rentes parties de l\u2019\u00e9tablissement des priorit\u00e9s dans le pr\u00e9sent\ncontexte. Tout au long du pr\u00e9sent examen de la gouvernance, on a not\u00e9 que le CST atteste la\nconformit\u00e9 \u00e0 ces exigences par un \u00e9nonc\u00e9 indiquant que l\u2019AM r\u00e9pond aux grandes priorit\u00e9s du\ngouvernement du Canada, sans \u00e9laborer sur la fa\u00e7on dont ces priorit\u00e9s sont satisfaites.<\/p>\n\n\n\n

                      Les processus interminist\u00e9riels du gouvernement du Canada relativement \u00e0 la coordination\nd\u2019activit\u00e9s et d\u2019op\u00e9rations de s\u00e9curit\u00e9 nationale ne datent pas d\u2019hier. Par exemple, lorsque le MAE\nrequiert une collecte de renseignements \u00e9trangers au Canada, il pr\u00e9sente une demande au ministre de\nla S\u00e9curit\u00e9 publique afin que le Service canadien du renseignement de s\u00e9curit\u00e9 (SCRS) facilite la\ncollecte conform\u00e9ment \u00e0 l\u2019article 16 de la Loi sur le SCRS. Un comit\u00e9 compos\u00e9 de repr\u00e9sentants [**expurg\u00e9**]<\/strong>.\nse penche ensuite sur le type de demande. Le\ncomit\u00e9 examine ensuite les questions au niveau du sous-ministre adjoint, [**concerne les processus d\u00e9cisionnaire du GC**]<\/strong>\n. De m\u00eame, un processus interminist\u00e9riel peut \u00e9galement confirmer la\nconformit\u00e9 d\u2019une COA aux priorit\u00e9s plus larges et l\u2019impossibilit\u00e9 d\u2019atteindre raisonnablement les\nobjectifs d\u2019une autre mani\u00e8re. Autrement dit, les consultations interminist\u00e9rielles sont une fa\u00e7on\nd\u2019\u00e9valuer les objectifs des COA et leur conformit\u00e9 aux priorit\u00e9s plus larges du gouvernement du\nCanada, et de d\u00e9terminer s\u2019il existe une autre mani\u00e8re d\u2019atteindre les objectifs fix\u00e9s, comme l\u2019exige la\nLoi sur le CST.<\/p>\n\n\n\n

                      L\u2019\u00e9tablissement de priorit\u00e9s plus larges pour le gouvernement du Canada est ressorti\ncomme \u00e9l\u00e9ment cl\u00e9 de la structure de gouvernance de ce nouveau pouvoir dans les premi\u00e8res\ndiscussions entre le CST et AMC. Au cours de la p\u00e9riode \u00e0 l\u2019examen, le CST a mont\u00e9 des COA avec\nAMC, qui a particip\u00e9 \u00e0 certains aspects du processus de planification. AMC a encourag\u00e9 le MAE \u00e0\ndemander l\u2019\u00e9laboration d\u2019un m\u00e9canisme de gouvernance en vue d\u2019att\u00e9nuer le risque que\n[traduction] \u00ab le CST d\u00e9cide, par lui-m\u00eame, de lancer [**expurg\u00e9**]<\/strong>\net a ajout\u00e9 que [**expurg\u00e9**]<\/strong>\n. \u00bb<\/p>\n\n\n\n

                      Des \u00e9valuations internes pr\u00e9liminaires d\u2019AMC se d\u00e9marquent du mandat touchant le\nrenseignement \u00e9tranger du CST, qui r\u00e9pond aux priorit\u00e9s en mati\u00e8re de renseignement approuv\u00e9es\npar le Cabinet, et rendent bien l\u2019essence de cet \u00e9cart par l\u2019\u00e9nonc\u00e9 suivant :<\/p>\n\n\n\n

                      [**citation d\u2019AMC concernant une discussion sur les objectifs et priorit\u00e9s strat\u00e9giques des cyberop\u00e9rations**]<\/strong><\/p>\n\n\n\n

                      Dans un autre cas, AMC a d\u00e9crit l\u2019\u00e9tablissement de telles priorit\u00e9s comme \u00e9tant\n[traduction] \u00ab une question importante qui n\u2019a pas encore \u00e9t\u00e9 r\u00e9gl\u00e9e avec le CST \u00bb et a expliqu\u00e9 qu\u2019\u00e0\nce moment un organisme dont le mandat touchait notamment la cyberop\u00e9ration devrait d\u00e9cider s\u2019il\ns\u2019agit du bon outil pour atteindre un objectif en particulier. AMC a expliqu\u00e9 que ses repr\u00e9sentants\navaient ultimement accept\u00e9 d\u2019aller de l\u2019avant sans se consacrer davantage \u00e0 ce sujet pour autant qu\u2019un\nm\u00e9canisme de gouvernance \u00e9tait mis en place avec le CST.<\/p>\n\n\n\n

                      Dans ce contexte, le paragraphe 34(4) de la Loi sur le CST exige que les objectifs d\u2019une\ncyberop\u00e9ration ne puissent pas \u00eatre raisonnablement atteints d\u2019une autre mani\u00e8re et que les\ncyberop\u00e9rations r\u00e9pondent aux priorit\u00e9s dans divers domaines. \u00c9tant donn\u00e9 ces exigences, l\u2019OSSNR\nindique que les minist\u00e8res f\u00e9d\u00e9raux, et non seulement le CST et AMC, peuvent fournir des indications\npertinentes sur d\u2019autres possibilit\u00e9s ou des activit\u00e9s en cours qui pourraient atteindre les objectifs en\nquestion.<\/p>\n\n\n\n

                      De plus, AMC a soulign\u00e9 le fait que le Cabinet \u00e9tablissait les besoins permanents en\nmati\u00e8re de renseignement (BPR) qui limitent et dirigent plus pr\u00e9cis\u00e9ment les activit\u00e9s de collecte de\nrenseignements \u00e9trangers du CST. \u00c0 ce sujet, le CST a r\u00e9pondu que [traduction] \u00ab ces discussions\nont conduit le CST et AMC \u00e0 accepter de commencer par une autorisation minist\u00e9rielle comportant [**expurg\u00e9**]<\/strong>\nappuy\u00e9e par une structure de consultation et un cadre de\ngouvernance entourant les COA\/COD du CST et d\u2019AMC. \u00bb<\/p>\n\n\n\n

                      Selon l\u2019OSSNR, la Loi sur le CST et l\u2019AM de COA \u00e9tablissent directement un lien entre les\nCOA et les grands objectifs et priorit\u00e9s du gouvernement du Canada qui touchent directement les\nmandats de minist\u00e8res comme le MDN, le BCP, le SCRS et SP, en plus de ceux du CST et d\u2019AMC. Il\nne suffit pas au CST de d\u00e9clarer qu\u2019une AM et ses activit\u00e9s connexes concordent avec ces priorit\u00e9s\nsans \u00e9laborer ou consulter d\u2019autres parties, \u00e9tant donn\u00e9 que le MDN, le BCP et SP sont responsables\ndes priorit\u00e9s strat\u00e9giques du Canada en mati\u00e8re de s\u00e9curit\u00e9 nationale et de d\u00e9fense ou en assurent la\ncoordination. Ces minist\u00e8res et organismes seraient les mieux plac\u00e9s pour offrir des commentaires et\nune confirmation concernant l\u2019alignement d\u2019une COA sur les objectifs du Canada afin d\u2019att\u00e9nuer les\nrisques que peuvent poser ces op\u00e9rations et de contribuer \u00e0 la responsabilisation globale de ces\nop\u00e9rations.<\/p>\n\n\n\n

                      [**concerne des sujets du GC li\u00e9s \u00e0 la s\u00e9curit\u00e9 nationale**]<\/strong>. Par cons\u00e9quent, le processus de gouvernance appelle l\u2019inclusion, ou \u00e0 tout le moins leur\nconsultation, d\u2019autres minist\u00e8res dont les mandats sont de chapeauter les grands objectifs strat\u00e9giques du Canada. Ainsi, les grands int\u00e9r\u00eats du Canada et les risques possibles seraient suffisamment\nexamin\u00e9s et transpara\u00eetraient dans l\u2019\u00e9laboration des COA.<\/p>\n\n\n\n

                      Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de m\u00e9canisme\npermettant de confirmer la conformit\u00e9 d\u2019une cyberop\u00e9ration active (COA) aux grandes priorit\u00e9s\nstrat\u00e9giques du gouvernement du Canada, comme le demandent la Loi sur le CST et\nl\u2019autorisation minist\u00e9rielle. Bien que les objectifs et priorit\u00e9s ne rel\u00e8vent pas uniquement du CST\net d\u2019AMC, ceux-ci dictent les COA sans l\u2019apport de la communaut\u00e9 globale du gouvernement du\nCanada prenant part \u00e0 la gestion des objectifs g\u00e9n\u00e9raux du Canada.<\/p>\n\n\n\n

                      Recommandation no 3 : L\u2019OSSNR recommande que le CST et AMC \u00e9tablissent un cadre\nde consultation des intervenants cl\u00e9s, notamment, le conseiller \u00e0 la s\u00e9curit\u00e9 nationale et au\nrenseignement aupr\u00e8s du premier ministre et les autres minist\u00e8res concern\u00e9s, dont les\nmandats touchent les cyberop\u00e9rations actives propos\u00e9es afin que celles-ci s\u2019harmonisent\naux grandes priorit\u00e9s strat\u00e9giques du gouvernement du Canada et que les exigences\n\u00e9nonc\u00e9es dans la Loi sur le CST soient respect\u00e9es.<\/p>\n\n\n\n

                      Seuil pour la conduite de COD pr\u00e9ventives<\/h4>\n\n\n\n

                      Le CST \u00e9tablit une diff\u00e9rence entre les COD men\u00e9es en r\u00e9ponse \u00e0 une cybermenace\net les COD pr\u00e9ventives visant \u00e0 emp\u00eacher la concr\u00e9tisation d\u2019une cybermenace. De plus, le CST et\nAMC ont discut\u00e9 de la nature de ces op\u00e9rations, notamment qu\u2019elles se trouvaient dans le spectre des\nop\u00e9rations en aval et en amont. Notamment, dans le cas des COD, [**concerne des op\u00e9rations du CST**]<\/strong>.<\/p>\n\n\n\n

                      Le CST a expliqu\u00e9 que le lancement d\u2019une COD [traduction] \u00ab exige une preuve que la\nmenace repr\u00e9sente une source potentielle de dommage \u00e0 une institution f\u00e9d\u00e9rale ou \u00e0 une\ninfrastructure de l\u2019information ou de l\u2019information \u00e9lectronique pr\u00e9cise \u00bb. Selon le CST, il n\u2019est pas\nn\u00e9cessaire qu\u2019une infrastructure soit compromise avant que soit lanc\u00e9e une COD. Il faut simplement\npouvoir \u00e9tablir la preuve d\u2019un lien entre une menace de compromission et l\u2019infrastructure.<\/p>\n\n\n\n

                      En m\u00eame temps, le CST ne dispose pas encore des moyens de faire la distinction entre\nce type de COD et une COA, \u00e9tant donn\u00e9 que des discussions entre AMC et le CST indiquaient qu\u2019une\nCOD pouvait ressembler \u00e0 une COA si la premi\u00e8re est men\u00e9e en amont. Contrairement aux COA, qui\ndemandent le consentement du MAE et la participation exhaustive d\u2019AMC tout au long du processus\nde planification, les COD ne requi\u00e8rent qu\u2019une consultation aupr\u00e8s du MAE. Sans l\u2019\u00e9tablissement d\u2019un\nseuil clair pour une COD men\u00e9e en amont, il est possible que la participation d\u2019AMC \u00e0 une op\u00e9ration\nqui s\u2019apparente (ou corresponde) \u00e0 une COA soit insuffisante, [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                      Dans notre examen ult\u00e9rieur, nous porterons une attention particuli\u00e8re \u00e0 la nature des\nCOD pr\u00e9ventives planifi\u00e9es ou ex\u00e9cut\u00e9es afin de d\u00e9terminer si elles constituent ou non des COA.<\/p>\n\n\n\n

                      Conclusion no 4 : Le CST et AMC n\u2019ont pas mis en place de seuil permettant de d\u00e9finir et\nde distinguer les cyberop\u00e9rations actives et les cyberop\u00e9rations d\u00e9fensives, une lacune qui\npourrait mener \u00e0 une participation insuffisante de la part d\u2019AMC advenant qu\u2019une op\u00e9ration soit\nconsid\u00e9r\u00e9e \u00e0 tort comme \u00e9tant d\u00e9fensive.<\/p>\n\n\n\n

                      Recommandation no 4 : L\u2019OSSNR recommande que le CST et AMC instaurent un seuil\nqui permette de distinguer une cyberop\u00e9ration active d\u2019une cyberop\u00e9ration d\u00e9fensive\npr\u00e9ventive, et que ce seuil soit fourni au ministre de la D\u00e9fense nationale dans les\nautorisations minist\u00e9rielles applicables.<\/p>\n\n\n\n

                      Collecte de renseignement dans le cadre d\u2019une cyberop\u00e9ration<\/h4>\n\n\n\n

                      Aux termes du paragraphe 34(4) de la Loi sur le CST, le MinDN ne peut d\u00e9livrer\nl\u2019autorisation que s\u2019il conclut qu\u2019aucune information ne sera acquise au titre de l\u2019autorisation, sauf\nconform\u00e9ment \u00e0 une autorisation d\u00e9livr\u00e9e en vertu des paragraphes 26(1), 27(1) ou (2), ou 40(1). Les\nAM pour les COA\/COD d\u00e9livr\u00e9es pendant la p\u00e9riode \u00e0 l\u2019examen t\u00e9moignent de cette restriction. Ces\nAM et leurs demandes correspondantes mentionnent seulement que les AM entourant les\nrenseignements \u00e9trangers serviront \u00e0 acqu\u00e9rir de l\u2019information en appui des activit\u00e9s de COA\/COD.\nElles \u00e9noncent aussi clairement qu\u2019aucune information ne sera acquise dans le cadre des activit\u00e9s de\nCOA\/COD autoris\u00e9es par l\u2019AM de COA.<\/p>\n\n\n\n

                      Cependant, les AM et les demandes \u00e0 l\u2019appui ne d\u00e9crivent pas l\u2019int\u00e9gralit\u00e9 des activit\u00e9s de\ncollecte d\u2019information d\u00e9coulant des COA\/COD. D\u2019apr\u00e8s les politiques du CST, le Centre peut encore\nrecueillir de l\u2019information [**expurg\u00e9**]<\/strong> tant que l\u2019activit\u00e9 est men\u00e9e au titre d\u2019une autre AM. Le\nCST a expliqu\u00e9 que les AM pour les COA\/COD ne peuvent servir de fondement \u00e0 la collecte de\nrenseignements, mais que [**concerne des op\u00e9rations du CST**]<\/strong>\n. Par exemple, [**expurg\u00e9**]<\/strong>\ntout en s\u2019appuyant sur l\u2019autorisation li\u00e9e aux renseignements\n\u00e9trangers pour [**expurg\u00e9**]<\/strong> conform\u00e9ment aux priorit\u00e9s en mati\u00e8re\nde renseignement du gouvernement du Canada.<\/p>\n\n\n\n

                      l\u2019information au sujet Loi sur le CST <\/em>autorise le CST \u00e0 acqu\u00e9rir de l\u2019information au titre d\u2019AM de\ncollecte, l\u2019OSSNR est d\u2019avis que la politique du CST permettant la tenue d\u2019activit\u00e9s de collecte au titre\nd\u2019AM distinctes pendant la tenue de cyberop\u00e9rations n\u2019est pas \u00e9nonc\u00e9e clairement dans les AM pour\nles COA\/COD. Plut\u00f4t, la collecte d\u2019information fait partie des interdictions dans l\u2019AM de COA, donnant\nl\u2019impression que la collecte ne peut avoir lieu peu importe les circonstances. Par cons\u00e9quent, l\u2019OSSNR souligne que le libell\u00e9 de l\u2019AM de COA ne traduit pas en toute transparence les politiques internes du\nCST.<\/p>\n\n\n\n

                      Le CST a expliqu\u00e9 que [**expurg\u00e9**]<\/strong>\ndurant une COA\/COD. En outre, l\u2019OSSNR a appris d\u2019un expert du\nCST qu\u2019un [**expurg\u00e9**]<\/strong> pr\u00e9cis qui \u00e9nonce en d\u00e9tail les activit\u00e9s \u00e0 r\u00e9aliser dans le cadre de\nl\u2019op\u00e9ration oriente chaque COA\/COD. [**concerne des op\u00e9rations du CST**]<\/strong>.<\/p>\n\n\n\n

                      \u00c9tant donn\u00e9 la politique du CST permettant la tenue simultan\u00e9e de la collecte et de\ncyberop\u00e9rations [**expurg\u00e9**]<\/strong> l\u2019OSSNR examinera minutieusement les r\u00f4les et\nresponsabilit\u00e9s [**expurg\u00e9**]<\/strong> participant aux COA\/COD, ainsi que les aspects techniques de\nl\u2019utilisation des syst\u00e8mes du CST \u00e0 l\u2019appui des COA\/COD lors de son examen ult\u00e9rieur des op\u00e9rations\nqu\u2019a men\u00e9es le CST jusqu\u2019\u00e0 pr\u00e9sent.<\/p>\n\n\n\n

                      Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d\u2019information\ndans le cadre de cyberop\u00e9rations ne sont pas d\u00e9crites avec exactitude dans les autorisations\nminist\u00e9rielles pour les cyberop\u00e9rations actives et d\u00e9fensives.<\/p>\n\n\n\n

                      Recommandation no 5 : L\u2019OSSNR recommande que le CST, dans ses demandes\npr\u00e9sent\u00e9es au ministre de la D\u00e9fense nationale, d\u00e9crive avec exactitude la possibilit\u00e9 que,\ndans le cadre de cyberop\u00e9rations actives et d\u00e9fensives, des activit\u00e9s de collecte se d\u00e9roulent\nau titre d\u2019autorisations distinctes.<\/p>\n\n\n\n

                      Gouvernance interne du CST<\/h3>\n\n\n\n

                      L\u2019OSSNR a d\u00e9cid\u00e9 d\u2019\u00e9valuer dans quelle mesure les processus de gouvernance interne\nprenaient suffisamment en compte les \u00e9l\u00e9ments essentiels \u00e0 la planification et \u00e0 l\u2019ex\u00e9cution des\nop\u00e9rations, et de savoir si les intervenants appel\u00e9s \u00e0 prendre part aux COA\/COD (c.-\u00e0-d. AMC et\n[**expurg\u00e9**]<\/strong>) \u00e9taient pr\u00e9cis\u00e9ment au fait des param\u00e8tres et des contraintes s\u2019appliquant aux\ncyberop\u00e9rations.<\/p>\n\n\n\n

                      Pendant le d\u00e9roulement de l\u2019examen, le CST donn\u00e9 suite aux exigences applicables en\nvertu de la Loi sur le CST et des AM en mettant en place divers m\u00e9canismes internes de planification\net de gouvernance. Ces m\u00e9canismes visaient les documents et les mesures strat\u00e9giques de haut niveau, mais aussi chacune des [**expurg\u00e9**]<\/strong> op\u00e9rationnelles, [**documents\/m\u00e9chanismes**]<\/strong> de chacune\ndes COA\/COD.<\/p>\n\n\n\n

                      Gouvernance des op\u00e9rations<\/h4>\n\n\n\n

                      Comme il a \u00e9t\u00e9 d\u00e9crit plus t\u00f4t, lorsqu\u2019il s\u2019agit d\u2019approuver chacune des COA\/COD, le CST\ns\u2019appuie sur divers documents de planification et de gouvernance, notamment, les [**expurg\u00e9**]<\/strong>. Dans un premier temps, le CST \u00e9labore le [**expurg\u00e9**]<\/strong> une COA\/COD donn\u00e9e. Par la suite, le CST cr\u00e9e un [**expurg\u00e9**]<\/strong> dans lequel on fait \u00e9tat\ndes risques dont il faut tenir compte pendant le d\u00e9roulement de la COA\/COD. De plus, le [**expurg\u00e9**]<\/strong> et le [**expurg\u00e9**]<\/strong> comprennent des champs portant sur les interdictions \u00e9nonc\u00e9es dans la Loi sur le CST<\/em>. D\u00e8s lors qu'une cible a \u00e9t\u00e9 choisie, la [**expurg\u00e9**]<\/strong> tient lieu de document de gouvernance d\u00e9finitif, jusqu'\u00e0 l'\u00e9tablissement des [**expurg\u00e9**]<\/strong> des COA\/COD.<\/p>\n\n\n\n

                      Semblablement aux AM pour les COA\/COD et en guise de plan initial, le [**expurg\u00e9**]<\/strong> consiste\ng\u00e9n\u00e9ralement en une approbation pr\u00e9alable de l\u2019ensemble des activit\u00e9s et de [**expurg\u00e9**]<\/strong>.\nIl est ensuite perfectionn\u00e9 et d\u00e9velopp\u00e9 dans le cadre du processus de [**expurg\u00e9**]<\/strong>.\nDu point de vue de l\u2019OSSNR, [**concerne des op\u00e9rations du CST**]<\/strong>.<\/p>\n\n\n\n

                      De fait, le [**concerne des op\u00e9rations du CST**] <\/strong> mais aussi les \u00e9l\u00e9ments op\u00e9rationnels qui, selon l\u2019OSSNR, repr\u00e9sentent bien plus que la simple [**redacted**]<\/strong> dans la mesure o\u00f9 celle-ci\n\u00e9nonce aussi les aspects essentiels de la planification op\u00e9rationnelle. [**redacted**]<\/strong> Enfin, la [**redacted**]<\/strong> d\u00e9crit en d\u00e9tail les modalit\u00e9s de [**redacted**]<\/strong>. Or, meme si [**redacted**]<\/strong> la \n[**redacted**]<\/strong> pourrait jouir d'un seuil d'approbation moins \u00e9lev\u00e9 que celui du [**redacted**]<\/strong>.<\/p>\n\n\n\n

                      Dans l\u2019ensemble, l\u2019OSSNR accueille favorablement le fait que le CST a \u00e9labor\u00e9 des proc\u00e9dures et document\u00e9 la planification op\u00e9rationnelle visant les activit\u00e9s des COA\/COD,\nconform\u00e9ment aux exigences \u00e9nonc\u00e9es dans l\u2019EPM. Toutefois, les nombreux documents portant sur la\ngouvernance s\u2019appliquant aux COA\/COD visent divers auditoires et ont diverses fonctions. En\nl\u2019occurrence, les informations essentielles sont r\u00e9parties dans plusieurs de ces documents au lieu d\u2019\u00eatre\nr\u00e9unies dans une structure centrale, que les intervenants et les d\u00e9cideurs concern\u00e9s seraient appel\u00e9s\n\u00e0 consulter, voire \u00e0 \u00e9valuer. L\u2019OSSNR estime que la pluralit\u00e9 des documents faisant \u00e9tat de la\ngouvernance entra\u00eenerait des chevauchements et des d\u00e9doublements donnant lieu \u00e0 une ambigu\u00eft\u00e9\nd\u00e9savantageuse au sein m\u00eame d'un plan op\u00e9rationnel devant guider les COA\/COD. Ainsi, \u00e0 l'occasion\nde son prochain examen, l\u2019OSSNR proc\u00e9dera \u00e0 l\u2019\u00e9valuation de la structure de gouvernance telle qu\u2019elle\naura \u00e9t\u00e9 appliqu\u00e9e, d\u2019ici l\u00e0, aux op\u00e9rations.<\/p>\n\n\n\n

                      Conclusion no 6 : Le processus de [**expurg\u00e9**]<\/strong> lequel a lieu une fois que les\ndocuments de planification ont \u00e9t\u00e9 approuv\u00e9s, contient des informations pertinentes pour les\nplans op\u00e9rationnels g\u00e9n\u00e9raux du CST. Or, il est arriv\u00e9 que la [**expurg\u00e9**]<\/strong> contienne\ndes informations essentielles qui n\u2019apparaissaient pas dans ces autres documents, bien que\ncette pr\u00e9sentation soit approuv\u00e9e \u00e0 un niveau de gestion inf\u00e9rieur.<\/p>\n\n\n\n

                      Recommandation no 6 : L\u2019OSSNR recommande que le CST inscrive toutes les\ninformations pertinentes \u2013 y compris les informations sur le ciblage et le contexte \u2013 dans tous\nles plans op\u00e9rationnels qui sont produits dans le cas d\u2019une cyberop\u00e9ration ainsi que dans\ntout document soumis \u00e0 l\u2019attention d\u2019AMC.<\/p>\n\n\n\n

                      Formation sur le nouveau cadre pour les cyberop\u00e9rations<\/h4>\n\n\n\n

                      Les autorisations minist\u00e9rielles visant les COA et les COD permettent aux cat\u00e9gories de\npersonnes suivantes de mener des activit\u00e9s COA\/COD : [**concerne la politique op\u00e9rationnelle du CST**]<\/strong> Les AM\nexigent \u00e9galement que ces [traduction] \u00ab personnes ou cat\u00e9gories de personnes appuient les\nop\u00e9rations du CST et favorisent les int\u00e9r\u00eats du Canada en mati\u00e8re de renseignement; elles exigent\n\u00e9galement que ces personnes ou cat\u00e9gories de personnes aient d\u00e9montr\u00e9 une compr\u00e9hension\napprofondie des exigences juridiques et strat\u00e9giques applicables. \u00bb<\/p>\n\n\n\n

                      Soucieux de la formation et de l\u2019orientation de son personnel op\u00e9rationnel au sujet des\nnouvelles exigences juridiques et strat\u00e9giques, le CST a d\u00e9clar\u00e9 \u2013 relativement \u00e0 une op\u00e9ration\nparticuli\u00e8re \u2013 que :<\/p>\n\n\n\n

                      \u00ab Les activit\u00e9s op\u00e9rationnelles entreprises [**expurg\u00e9**]<\/strong>\nlesquels sont tenus de suivre des formations compl\u00e8tes et\ncontinues sur les fonctions et les t\u00e2ches qu\u2019ils sont appel\u00e9s \u00e0 exercer, mais aussi sur les politiques et les\nexigences en mati\u00e8re de conformit\u00e9 qui s\u2019appliquent \u00e0 leurs r\u00f4les respectifs. De plus, [**expurg\u00e9**]<\/strong>\nont \u00e9t\u00e9 form\u00e9s, sont tenus responsables des activit\u00e9s qu\u2019ils r\u00e9alisent\net respectent les exigences en mati\u00e8re de production de rapports sur la conformit\u00e9. En outre, [**expurg\u00e9**]<\/strong>\nqui participent aux activit\u00e9s [**expurg\u00e9**]<\/strong> ont pr\u00e9alablement re\u00e7u le mat\u00e9riel op\u00e9rationnel permettant de veiller \u00e0 ce que les conditions d\u2019op\u00e9ration\n\u00e9nonc\u00e9es dans la pr\u00e9sente soient comprises et strictement observ\u00e9es. \u00bb<\/p>\n\n\n\n

                      Enfin, le CST a indiqu\u00e9 \u00e0 l\u2019OSSNR [traduction] \u00ab qu\u2019avant l\u2019adoption de la nouvelle loi, le\nCST fournissait, virtuellement et en pr\u00e9sentiel, des s\u00e9ances d\u2019information sur les nouveaux pouvoirs du\nCST \u00e0 tous les membres de l\u2019effectif du Centre. Des s\u00e9ances d\u2019information personnalis\u00e9es \u00e9taient\n\u00e9galement fournies aux \u00e9quipes op\u00e9rationnelles \u00bb. Au nombre de ces s\u00e9ances, on a pu compter des\nconf\u00e9rences, des s\u00e9ances de question avec le chef-adjoint, Politiques et Communication, ainsi que\nd\u2019autres types de pr\u00e9sentations pr\u00e9par\u00e9es par les \u00e9quipes des politiques du CST96. Toutefois, l\u2019OSSNR\nnote que ces s\u00e9ances de formation, qui comportent nombre d\u2019informations g\u00e9n\u00e9rales, ne sont pas\nax\u00e9es sur les op\u00e9rations et ne mettent pas \u00e0 l\u2019\u00e9preuve les connaissances que les employ\u00e9s ont\nnouvellement acquises concernant le nouveau cadre juridique r\u00e9gissant les op\u00e9rations.<\/p>\n\n\n\n

                      Compte tenu des exigences et des assurances \u00e9nonc\u00e9es plus haut, l\u2019OSSNR s\u2019attendait\n\u00e0 constater que les employ\u00e9s du CST qui fournissent du soutien aux COA\/COD disposent d\u2019une\nformation effective qui soit suffisante pour acqu\u00e9rir une compr\u00e9hension approfondie des responsabilit\u00e9s\nqui leur incombent en consid\u00e9ration des nouveaux pouvoirs, mais aussi des nouvelles contraintes que\nla loi leur impose; et pour mettre cette compr\u00e9hension en pratique pendant le d\u00e9roulement des\nCOA\/COD.<\/p>\n\n\n\n

                      Dans ce contexte, le CST a men\u00e9 des exercices pratiques ayant pour objet, entre autres,\nde pr\u00e9senter [**certains employ\u00e9s**]<\/strong> les premi\u00e8res \u00e9tapes du processus de pr\u00e9paration des AM, de leur donner\nl\u2019occasion de r\u00e9diger des AM et de tester la viabilit\u00e9 fonctionnelle du cadre des AM. Durant les\nexercices, [**l'employ\u00e9 susmentionn\u00e9**]<\/strong> n\u2019avaient pas le droit de demander conseil aupr\u00e8s des responsables des\naffaires juridiques ou strat\u00e9giques, permettant ainsi aux gestionnaires d\u2019observer les r\u00e9sultats appel\u00e9s\n\u00e0 se manifester naturellement. Or, l\u2019OSSNR remarque un point essentiel au sujet de cet exercice :<\/p>\n\n\n\n

                      \u00ab[**expurg\u00e9**]<\/strong> se sont montr\u00e9s r\u00e9ticents \u00e0 l\u2019\u00e9gard du besoin de recourir \u00e0 plusieurs AM\npour soutenir les objectifs de mission. Des directives et de la formation en mati\u00e8re de politiques seront\nn\u00e9cessaires pour rendre [**expurg\u00e9**]<\/strong> aptes \u00e0 conna\u00eetre les autorisations qui r\u00e9gissent leurs interventions\nd\u00e8s lors qu\u2019ils prennent part aux op\u00e9rations r\u00e9alis\u00e9es dans le cadre de diverses missions et selon les\ntermes des AM connexes. Ces directives et cette formation doivent \u00e9galement tenir compte du fait que les\ninformations collect\u00e9es en vertu de diverses AM pourraient \u00eatre assujetties \u00e0 certaines exigences en\nmati\u00e8re de gestion des donn\u00e9es. \u00bb<\/p>\n\n\n\n

                      Le CST a indiqu\u00e9 que [**certains employ\u00e9s**]<\/strong> recevaient les \u00e9l\u00e9ments de connaissance concernant\nles autorit\u00e9s juridiques, les exigences et les interdictions s\u2019appliquant aux COA et aux COD pendant\ndes r\u00e9unions de planification et \u00e0 la lecture de documents op\u00e9rationnels. Or, \u00e0 l\u2019occasion d\u2019une\nentrevue avec un expert du CST [**expurg\u00e9**]<\/strong> l\u2019OSSNR a appris que la\nformation offerte sur les autorit\u00e9s juridiques, les exigences et les interdictions [**expurg\u00e9**]<\/strong>.\nL\u2019expert en question a \u00e9galement dit que les intervenants qui auraient des\nquestions concernant la gouvernance devraient [**concerne des op\u00e9rations du CST**]<\/strong><\/p>\n\n\n\n

                      \u00c0 l\u2019OSSNR, on ne sait trop s\u2019il existe des exigences suivant lesquelles [**expurg\u00e9**]<\/strong> sont\ntenus de poss\u00e9der une profonde compr\u00e9hension des param\u00e8tres d\u00e9finis pour une COA\/COD dans un [**expurg\u00e9**]<\/strong>.\nDe fait, [**expurg\u00e9**]<\/strong>.\nPar exemple, lorsqu\u2019on l\u2019a questionn\u00e9 au sujet\nde son degr\u00e9 d\u2019aisance \u00e0 ex\u00e9cuter ses fonctions en vertu de diverses AM, [**expurg\u00e9**]<\/strong>\n\u00e9nonc\u00e9s dans le [**expurg\u00e9**]<\/strong>. Le\nCST ajoute que [**expurg\u00e9**]<\/strong> sont \u00e9labor\u00e9s \u00e0 partir du [**expurg\u00e9**]<\/strong>. Or, comme\nl\u2019indique [**expurg\u00e9**]<\/strong>\nPar cons\u00e9quent, l\u2019OSSNR estime que s\u2019ils ne\nse concentrent que sur le contenu du [**certain document\/m\u00e9chanisme**]<\/strong> risquent de ne pas avoir une\ncompr\u00e9hension suffisante des param\u00e8tres et des restrictions s\u2019appliquant \u00e0 l\u2019ensemble de l\u2019op\u00e9ration.<\/p>\n\n\n\n

                      Les AM qui autorisent l\u2019ex\u00e9cution des COA\/COD imposent une condition aux employ\u00e9s du\nCST impliqu\u00e9s dans l\u2019ex\u00e9cution desdites COA\/COD : celle de poss\u00e9der une compr\u00e9hension\napprofondie des exigences juridiques et strat\u00e9giques r\u00e9gissant leurs interventions. Les AM et les\ndocuments de planification op\u00e9rationnelle contiennent des informations essentielles concernant les\nparam\u00e8tres qui d\u00e9terminent les pouvoirs s\u2019appliquant, de fa\u00e7on g\u00e9n\u00e9rale, \u00e0 la conduite des COA\/COD,\nmais aussi des op\u00e9rations particuli\u00e8res. Ainsi, l\u2019OSSNR affirme qu\u2019il est de prime importance que les\nemploy\u00e9s travaillant sur un aspect de l\u2019ex\u00e9cution des COA\/COD re\u00e7oivent des s\u00e9ances de formation\nleur permettant de bien conna\u00eetre les exigences et les limites s\u2019appliquant \u00e0 leurs interventions\nrespectives, lesquelles sont \u00e9nonc\u00e9es dans le [**expurg\u00e9**]<\/strong> et la [**expurg\u00e9**]<\/strong>. Enfin,\npourraient subir des tests visant \u00e0 mesurer leur degr\u00e9 de compr\u00e9hension des AM et des\ncontraintes impos\u00e9es \u00e0 certaines op\u00e9rations.<\/p>\n\n\n\n

                      Conclusion no 7 : Le CST a prodigu\u00e9 \u00e0 ses employ\u00e9s des formations g\u00e9n\u00e9rales leur\npermettant d\u2019acqu\u00e9rir une connaissance des nouveaux pouvoirs autorisant la conduite de\ncyberop\u00e9rations actives et d\u00e9fensives (COA\/COD). Toutefois, il y a lieu de croire que les\nemploy\u00e9s directement impliqu\u00e9s dans les COA\/COD n\u2019auraient une compr\u00e9hension suffisante\nni des \u00e9l\u00e9ments ayant trait aux pouvoirs l\u00e9gaux nouvellement acquis par le CST ni des\nparam\u00e8tres r\u00e9gissant l\u2019application de ces pouvoirs.<\/p>\n\n\n\n

                      Recommandation no 7 : L\u2019OSSNR recommande que le CST offre un programme de\nformation structur\u00e9 aux employ\u00e9s prenant part \u00e0 l\u2019ex\u00e9cution des cyberop\u00e9rations actives et\nd\u00e9fensives (COA\/COD). Ce faisant, le CST s\u2019assurerait que lesdits employ\u00e9s poss\u00e8dent une\nconnaissance ad\u00e9quate des pouvoirs l\u00e9gaux, des exigences et des interdictions stipul\u00e9es\ndans les autorisations minist\u00e9rielles.<\/p>\n\n\n\n

                      Cadre de mobilisation entre le CST et AMC<\/h3>\n\n\n\n

                      \u00c9tant donn\u00e9 l\u2019exigence l\u00e9gislative selon laquelle le MAE doit donner son approbation ou\n\u00eatre consult\u00e9 en ce qui a trait aux COA\/COD, l\u2019OSSNR a cherch\u00e9 \u00e0 d\u00e9terminer si le CST avait \u00e9labor\u00e9\nun cadre propice \u00e0 la mobilisation et \u00e0 la consultation des repr\u00e9sentants d\u2019AMC pour les aspects\ncommuns de leurs mandats respectifs.<\/p>\n\n\n\n

                      \u00c9valuation des risques li\u00e9s \u00e0 la politique \u00e9trang\u00e8re par AMC<\/h4>\n\n\n\n

                      Lors de l\u2019\u00e9laboration du cadre de consultation, AMC et le CST ont mis au point un\nm\u00e9canisme selon lequel AMC est appel\u00e9 \u00e0 donner son avis, voire son approbation avant le lancement\nd\u2019une op\u00e9ration, et \u00e0 \u00e9valuer les risques que celle-ci peut comporter en mati\u00e8re de politique \u00e9trang\u00e8re.\nEn r\u00e9ponse \u00e0 une demande de consultation pr\u00e9sent\u00e9e par le CST, AMC est tenu de fournir, dans un\nd\u00e9lai de cinq jours ouvrables, une \u00e9valuation des risques li\u00e9s \u00e0 la politique \u00e9trang\u00e8re (ERPE) visant \u00e0\n\u00e9tablir si [**expurg\u00e9**]<\/strong>. Il convient de\nsouligner que l\u2019ERPE ne constitue pas une approbation de l\u2019op\u00e9ration; il ne s\u2019agit que d\u2019un m\u00e9canisme\nde consultation. Pour orienter l\u2019ERPE, le CST pr\u00e9pare un [**document\/m\u00e9chanisme**]<\/strong> \u00e0 l\u2019intention d\u2019AMC\nr\u00e9sumant les divers aspects de l\u2019op\u00e9ration. Par ailleurs, c\u2019est dans le cadre d\u2019un examen subs\u00e9quent\nque l\u2019OSSNR v\u00e9rifiera si l\u2019\u00e9ch\u00e9ancier fourni par le CST relativement \u00e0 certaines op\u00e9rations aura permis\n\u00e0 AMD de mener des ERPE ad\u00e9quates.<\/p>\n\n\n\n

                      Pour d\u00e9terminer si une COA\/COD [**expurg\u00e9**]<\/strong> AMC doit consid\u00e9rer bon\nnombre de facteurs. Il faut notamment v\u00e9rifier si la COA\/COD est conforme \u00e0 la position d\u2019AMC par\nrapport aux normes internationales r\u00e9gissant le cyberespace et si elle contribue aux int\u00e9r\u00eats du Canada.\nAMC doit aussi tenir compte de [**concerne des sujets du GC li\u00e9s \u00e0 la s\u00e9curit\u00e9 nationale**]<\/strong>. Ces consid\u00e9rations sont pr\u00e9sent\u00e9es\ndans les mandats du Groupe de travail du CST-AMC, lesquels requi\u00e8rent qu\u2019AMC \u00e9value :<\/p>\n\n\n\n

                        \n
                      • [**expurg\u00e9**]<\/strong><\/li>\n\n\n\n
                      • la conformit\u00e9 au droit international et aux cybernormes;<\/li>\n\n\n\n
                      • la coh\u00e9rence sur le plan de la politique \u00e9trang\u00e8re, notamment la conformit\u00e9 de l\u2019op\u00e9ration aux\npriorit\u00e9s en mati\u00e8re de politique \u00e9trang\u00e8re, de s\u00e9curit\u00e9 nationale et de d\u00e9fense (au-del\u00e0 des\n[besoins permanents en mati\u00e8re de renseignement]);<\/li>\n\n\n\n
                      • [**expurg\u00e9**]<\/strong><\/li>\n<\/ul>\n\n\n\n

                        Dans le contexte des exigences d\u2019\u00e9valuation susmentionn\u00e9es, AMC a expliqu\u00e9 \u00e0\nl\u2019OSSNR que ses \u00e9valuations des risques pos\u00e9s par les op\u00e9rations sur le plan de la politique \u00e9trang\u00e8re\nn\u2019\u00e9taient pas forc\u00e9ment exhaustives, \u00e9tant donn\u00e9 qu\u2019il \u00e9valuait d\u00e9j\u00e0 en d\u00e9tail les cat\u00e9gories d\u2019activit\u00e9s\nautoris\u00e9es par l\u2019AM. Cette approche en mati\u00e8re d\u2019\u00e9valuation est perceptible dans [**expurg\u00e9**]<\/strong> ERPE\nre\u00e7ues par l\u2019OSSNR, lesquelles concluaient que [**expurg\u00e9**]<\/strong> ces op\u00e9rations [**expurg\u00e9**]<\/strong>\nsans toutefois fournir de pr\u00e9cisions sur les facteurs susmentionn\u00e9s. \u00c9tant donn\u00e9\nqu\u2019elles fournissent l\u2019assurance qu\u2019une op\u00e9ration [**expurg\u00e9**]<\/strong> et qu\u2019elles sont requises aux\ntermes de l\u2019AM relative aux COA, les ERPE feront l\u2019objet d\u2019un examen d\u00e9taill\u00e9 dans le cadre du prochain examen de l\u2019OSSNR, lequel portera sur les op\u00e9rations.<\/p>\n\n\n\n

                        Conformit\u00e9 au droit international et aux cybernormes<\/h4>\n\n\n\n

                        [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                        Le Parlement peut autoriser des violations du droit\ninternational, s\u2019il le fait express\u00e9ment. Par exemple, \u00e0 la suite de la d\u00e9cision dans\nX (Re) 2014 CAF 249, le Parlement a modifi\u00e9 la Loi sur le SCRS en adoptant le projet de loi C-44 en\n2015. Les nouvelles dispositions \u00e9non\u00e7aient clairement que le SCRS pouvait s\u2019acquitter de ses\nfonctions au pays et \u00e0 l\u2019\u00e9tranger, et qu\u2019en vertu de nouvelles dispositions de la Loi sur le CST, un juge\npouvait autoriser des activit\u00e9s \u00e0 l\u2019\u00e9tranger afin de permettre au Service d\u2019enqu\u00eater sur une menace\npour la s\u00e9curit\u00e9 du Canada \u00ab sans \u00e9gard \u00e0 toute autre r\u00e8gle de droit \u00bb. Conform\u00e9ment au libell\u00e9 de\nla Loi sur le CST, les AM relatives aux COA\/COD peuvent uniquement autoriser le CST \u00e0 mener des\nactivit\u00e9s \u00ab malgr\u00e9 toute autre loi f\u00e9d\u00e9rale ou loi d\u2019un \u00c9tat \u00e9tranger \u00bb. Tel qu\u2019\u00e9nonc\u00e9 dans la\njurisprudence, ce libell\u00e9 pourrait ne pas \u00eatre suffisamment clair pour permettre au ministre d\u2019autoriser\nla violation de r\u00e8gles coutumi\u00e8res du droit international.<\/p>\n\n\n\n

                        [**expurg\u00e9**]<\/strong> les AM examin\u00e9es par l\u2019OSSNR\n\u00e9non\u00e7aient que les activit\u00e9s devaient \u00eatre [traduction] \u00ab conformes aux obligations du Canada en\nmati\u00e8re de droit international \u00bb115, et chaque AM exigeait que les activit\u00e9s du CST ne contreviennent\npas aux obligations du Canada en la mati\u00e8re116. Ainsi, cela porte \u00e0 croire que toutes les activit\u00e9s men\u00e9es\naux termes de l\u2019AM sont conformes au droit international. Or, les documents de gouvernance r\u00e9dig\u00e9s\npar le CST et AMC, notamment le cadre de consultation, n\u2019\u00e9tablissent pas les param\u00e8tres permettant\nd\u2019\u00e9valuer la conformit\u00e9 des COA\/COD avec les obligations du Canada en mati\u00e8re de droit international.\nQui plus est, on ne pr\u00e9cise pas les obligations l\u00e9gales internationales en fonction desquelles la\nconformit\u00e9 des COA\/COD doit \u00eatre \u00e9valu\u00e9e. Dans son prochain examen, l\u2019OSSNR \u00e9valuera dans quelle\nmesure les COA\/COD men\u00e9es par le CST et AMC se conforment au droit international.<\/p>\n\n\n\n

                        Dans le cadre de ses \u00e9changes avec l\u2019OSSNR, AMC a fait mention de ses consultations interminist\u00e9rielles et internationales remontant \u00e0 2016 concernant le Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Tallinn Manual 2.0)<\/em>,\nlequel a contribu\u00e9 \u00e0 orienter les AM [**expurg\u00e9**]<\/strong>. \u00c0 la suite de ces\nconsultations, AMC a cr\u00e9\u00e9 un manuel qui traite de l\u2019\u00e9valuation pr\u00e9liminaire du Canada visant des r\u00e8gles\ncl\u00e9s du droit international relatif au cyberespace, selon le Tallinn Manual 2.0. Bien qu\u2019il ne s\u2019agisse que\nd\u2019une \u00e9bauche ne repr\u00e9sentant pas la position d\u00e9finitive du Canada, l\u2019analyse [traduction] \u00ab sert de\nfondement \u00e0 des consid\u00e9rations juridiques approfondies \u00bb. L\u2019OSSNR n\u2019a re\u00e7u aucun autre document\nd\u00e9crivant la mani\u00e8re dont le Canada interpr\u00e8te le droit international relativement aux COA\/COD.<\/p>\n\n\n\n

                        Par ailleurs, dans des documents fournis par AMC et le\nCST, on fait \u00e9tat de la n\u00e9cessit\u00e9 d\u2019examiner la l\u00e9galit\u00e9 de chaque COA\/COD envisag\u00e9e. AMC a\nnotamment relev\u00e9 qu\u2019il faudrait analyser les termes [traduction] \u00ab reconnus comme \u00e9tant nuisibles \u00bb et\n\u00ab posant un risque pour la paix internationale et \u00e0 la s\u00e9curit\u00e9 \u00bb, et ce, dans le contexte de chaque\nCOA\/COD. [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                        AMC a expliqu\u00e9 avoir examin\u00e9 chaque activit\u00e9 s\u2019inscrivant dans les cat\u00e9gories autoris\u00e9es\nafin de v\u00e9rifier la conformit\u00e9 au droit international au stade d\u2019\u00e9laboration de l\u2019AM. Ainsi, il n\u2019a men\u00e9\nqu\u2019un examen sommaire de la conformit\u00e9 au droit international au stade de l\u2019ERPE pour chaque\nop\u00e9ration. AMC a mentionn\u00e9 que le manuel qu\u2019il a cr\u00e9\u00e9 ainsi que le Tallinn Manual 2.0 ont \u00e9t\u00e9\nconsult\u00e9s \u00e0 cet effet. D\u2019apr\u00e8s la teneur [**expurg\u00e9**]<\/strong> ERPE examin\u00e9es par l\u2019OSSNR jusqu\u2019\u00e0 pr\u00e9sent, on\nne saurait dire dans quelle mesure le manuel ou l\u2019analyse des normes volontaires de 2015 du Groupe\nd\u2019experts gouvernementaux des Nations Unies (GEG de l\u2019ONU) a orient\u00e9 l\u2019examen du niveau de risque\nde chaque op\u00e9ration, ou encore, si les conclusions d\u2019AMC \u00e9taient conformes au droit international.\nOr, AMC conclut que les activit\u00e9s sont conformes au droit international sans toutefois fournir de\njustification.<\/p>\n\n\n\n

                        L\u2019OSSNR constate qu\u2019en mati\u00e8re de cyberespace, le droit international en est \u00e0 ses\nbalbutiements, mais il reconna\u00eet que le Canada et d\u2019autres \u00c9tats continuent de d\u00e9velopper et de\npeaufiner leur analyse juridique dans le domaine. Mener des COA\/COD sans qu\u2019elles aient d\u2019abord fait\nl\u2019objet d\u2019analyses exhaustives et document\u00e9es comporte des risques consid\u00e9rables pour le Canada sur\nle plan juridique advenant qu\u2019une op\u00e9ration viole le droit international. En fin de compte, pour \u00eatre en\nmesure d\u2019\u00e9valuer la conformit\u00e9 d\u2019une op\u00e9ration au droit international, le CST et AMC devront\napprofondir leurs analyses des obligations l\u00e9gales du Canada. L\u2019OSSNR se penchera sur la l\u00e9galit\u00e9 des COA\/COD dans le cadre de son prochain examen.<\/p>\n\n\n\n

                        Conclusion no 8 : En ce qui concerne les cyberop\u00e9rations actives et d\u00e9fensives, le cadre \u00e9labor\u00e9 par le\nCST et AMC pour \u00e9valuer les obligations du Canada en mati\u00e8re de droit international manque de clart\u00e9\net d\u2019objectivit\u00e9.<\/p>\n\n\n\n

                        Le CST et AMC devraient fournir une \u00e9valuation du r\u00e9gime juridique international applicable \u00e0 la conduite de COA et de COD. De plus, le CST devrait demander \u00e0 ce qu\u2019AMC m\u00e8ne et consigne une \u00e9valuation compl\u00e8te sur le plan juridique de la conformit\u00e9 de chaque op\u00e9ration au droit international.<\/p>\n\n\n\n

                        Communication bilat\u00e9rale de l\u2019information pertinente<\/h4>\n\n\n\n

                        AMC et le CST ont tous deux adopt\u00e9 des m\u00e9thodes qui leur permettent d\u2019\u00e9valuer les\nrisques en fonction de certains facteurs. Cependant, ces types de risques ne sont pas absolus; ils\nd\u00e9pendent d\u2019une vaste gamme de facteurs qui \u00e9voluent au fil du temps et \u00e0 mesure qu\u2019\u00e9mergent des\nrenseignements nouveaux. Pour sa part, AMC compose avec des facteurs comme [**concerne des sujets du GC li\u00e9s \u00e0 la s\u00e9curit\u00e9 nationale**]<\/strong><\/p>\n\n\n\n

                        \u00c0 l\u2019heure actuelle, le CST et AMC ont adopt\u00e9 une m\u00e9thode selon laquelle le CST compte\nsur l\u2019information que lui transmet AMC pour demeurer au courant de tout changement li\u00e9 aux risques\nsur le plan de la politique \u00e9trang\u00e8re du Canada. Toutefois, selon la m\u00e9thode d\u2019AMC susmentionn\u00e9e,\nles risques d\u2019une op\u00e9ration peuvent s\u2019accro\u00eetre \u00e0 mesure qu\u2019on obtient des renseignements sur\nou sur les r\u00e9percussions possibles de l\u2019op\u00e9ration\nau-del\u00e0 d\u2019un [**expurg\u00e9**]<\/strong>. Pour sa part, le CST semble surtout se concentrer\nsur les changements touchant les risques op\u00e9rationnels, [**qui sont d\u00e9couverts \u00e0 un certain moment et\nd\u2019une certaine mani\u00e8re**]<\/strong>. Il s\u2019agit d\u2019un m\u00e9canisme \u00e0 sens unique\nqui ne tient pas compte d\u2019autres facteurs [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                        Dans ce contexte, le CST a expliqu\u00e9 qu\u2019une COA\/COD consistait en [**expurg\u00e9**]<\/strong>, et que par cons\u00e9quent, [**expurg\u00e9**]<\/strong>. Le CST a\n\u00e9galement mentionn\u00e9 que [**expurg\u00e9**]<\/strong> et que les activit\u00e9s subs\u00e9quentes peuvent \u00eatre modifi\u00e9es au besoin, en fonction de l\u2019information obtenue pendant\nl\u2019op\u00e9ration en cours. [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                        Dans ce contexte, l\u2019OSSNR a examin\u00e9 des op\u00e9rations devant se d\u00e9rouler sur une\np\u00e9riode donn\u00e9e, dont une COD o\u00f9 le CST devait entreprendre des [**expurg\u00e9**]<\/strong>. Dans le cadre d\u2019une autre COA, le CST [**expurg\u00e9**]<\/strong>. Dans sa description de l\u2019op\u00e9ration \u00e0 AMC, le CST a mentionn\u00e9 que de telles activit\u00e9s s\u2019\u00e9tendraient sur\nun certain laps de temps [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                        [**concerne des op\u00e9rations du CST**]<\/strong> tire parti de [**expurg\u00e9**]<\/strong> des COA\/COD [**expurg\u00e9**]<\/strong>\nl\u2019OSSNR estime qu\u2019il faudrait mettre en place un m\u00e9canisme de notification bidirectionnel\npermettant de r\u00e9\u00e9valuer les risques li\u00e9s \u00e0 une COA\/COD, que ces risques soient d\u00e9couverts avant la\nmise en oeuvre de l\u2019op\u00e9ration ou pendant son ex\u00e9cution.<\/p>\n\n\n\n

                        Enfin, en ce qui a trait au processus de gouvernance interne du CST, AMC a un r\u00f4le \u00e0\njouer dans [**expurg\u00e9**]<\/strong>. D\u2019ailleurs, AMC a indiqu\u00e9 que les objectifs, [**expurg\u00e9**]<\/strong>\nassoci\u00e9s aux op\u00e9rations constituaient des renseignements qu\u2019il\nincombe au CST de fournir aux fins de l\u2019\u00e9valuation des risques pour la politique \u00e9trang\u00e8re. L\u2019OSSNR\na constat\u00e9 que le [**expurg\u00e9**]<\/strong>\n. L\u2019OSSNR note qu\u2019AMC devrait avoir acc\u00e8s \u00e0 ces d\u00e9tails, car ils servent\nde contexte important \u00e0 son examen, d\u2019autant plus qu\u2019AMC indique dans ses conclusions que les\nactivit\u00e9s \u00e9taient conformes \u00e0 [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                        Conclusion no 9 : Le CST s\u2019attend \u00e0 ce qu\u2019AMC l\u2019avise de tout changement \u00e0 la politique\n\u00e9trang\u00e8re, mais n\u2019accorde pas assez d\u2019importance \u00e0 la n\u00e9cessit\u00e9 de faire part \u00e0 AMC des autres\nrisques pouvant survenir au cours d\u2019une op\u00e9ration. En outre, des informations essentielles \u00e0\nl\u2019\u00e9valuation d\u2019AMC visant les risques pour la politique \u00e9trang\u00e8re ne figurent pas dans la\ndocumentation que le CST utilise pour mobiliser AMC aux fins d\u2019une op\u00e9ration. Ainsi, il se peut\nque le cadre de consultation actuel n\u2019incite pas le CST \u00e0 communiquer suffisamment\nd\u2019information pour permettre \u00e0 AMC d\u2019\u00e9valuer les risques pour la politique \u00e9trang\u00e8re et de g\u00e9rer les risques qui se pr\u00e9sentent au cours d\u2019une cyberop\u00e9ration.<\/p>\n\n\n\n

                        Recommandation no 9 : L\u2019OSSNR recommande que le CST et AMC s\u2019\u00e9changent toute\nl\u2019information pertinente et se tiennent au courant de tous les nouveaux d\u00e9veloppements ayant\nune incidence sur l\u2019\u00e9valuation des risques associ\u00e9s aux cyberop\u00e9rations, et ce, tant au stade\nde la planification qu\u2019\u00e0 celui de l\u2019ex\u00e9cution.<\/p>\n\n\n\n

                        Conclusion<\/h2>\n\n\n\n

                        Le pr\u00e9sent rapport fait suite au premier examen de l\u2019OSSNR portant sur les nouveaux\npouvoirs conf\u00e9r\u00e9s au CST pour la conduite de COA\/COD et illustre l\u2019\u00e9volution de la structure de\ngouvernance du CST et d\u2019AMC s\u2019appliquant auxdites COA\/COD. Le CST est autoris\u00e9 \u00e0 mener ce type\nd\u2019op\u00e9ration depuis 2019, bien que l\u2019examen ait permis de constater que les deux organismes avaient\ncommenc\u00e9 \u00e0 conceptualiser le r\u00e9gime de gouvernance avant l\u2019entr\u00e9e en vigueur de la Loi sur le CST.\nL\u2019OSSNR reconna\u00eet qu\u2019\u00e0 ce jour, le CST a \u00e9labor\u00e9 une structure de gouvernance compl\u00e8te et salue\nson implication dans l\u2019\u00e9laboration d\u2019un cadre de consultation avec AMC, cadre dans lequel sont d\u00e9finis\nles r\u00f4les et les responsabilit\u00e9s de chacune des organisations.<\/p>\n\n\n\n

                        Toutefois, le CST pourrait apporter des am\u00e9liorations dans l\u2019ensemble de la structure de\ngouvernance sur le plan de la transparence et de la clart\u00e9, pour ce qui a trait \u00e0 la planification des\nCOA\/COD \u2013 particuli\u00e8rement lors des premi\u00e8res \u00e9tapes \u2013 en \u00e9tablissant, dans les AM concern\u00e9es, des\nparam\u00e8tres clairs s\u2019appliquant aux cat\u00e9gories d\u2019activit\u00e9s et aux groupes de cibles qui pourraient \u00eatre\nconcern\u00e9s par des COA\/COD. De plus, l\u2019OSSNR estime que la pr\u00e9paration des cyberop\u00e9rations\npourrait tirer parti de consultations aupr\u00e8s d\u2019autres minist\u00e8res responsables des priorit\u00e9s et objectifs\nstrat\u00e9giques du Canada en mati\u00e8re de s\u00e9curit\u00e9 nationale et de d\u00e9fense. Enfin, le CST et AMC devraient\nd\u00e9finir en quoi consiste une COD et \u00e9tablir un seuil applicable \u00e0 la conduite des COD pr\u00e9ventives, ce\nqui garantirait une participation appropri\u00e9e d\u2019AMC dans le cadre des op\u00e9rations.<\/p>\n\n\n\n

                        Sur le plan op\u00e9rationnel, le CST et AMC devraient veiller \u00e0 ce que le degr\u00e9 de conformit\u00e9\nau droit international de chacune des op\u00e9rations soit \u00e9valu\u00e9 et document\u00e9. Pour ce qui concerne le\nCST, celui-ci devrait s\u2019assurer que l\u2019information essentielle \u00e0 l\u2019\u00e9valuation des risques pos\u00e9s par la\nconduite d\u2019une op\u00e9ration soit normalis\u00e9e et incluse dans tous les documents sur la gouvernance, et\nqu\u2019elle soit mise \u00e0 la disposition des intervenants appel\u00e9s \u00e0 prendre part \u00e0 l\u2019\u00e9laboration et \u00e0\nl\u2019approbation des COA\/COD \u2013 y compris AMC. En derni\u00e8re analyse, le CST devrait s\u2019assurer que son\npersonnel op\u00e9rationnel ait une excellente connaissance du nouveau cadre l\u00e9gal et de ses modalit\u00e9s\nd\u2019application aux diverses op\u00e9rations.<\/p>\n\n\n\n

                        Certes, le pr\u00e9sent examen s\u2019est concentr\u00e9 sur les structures de gouvernance en vigueur\npour ce qui concerne les COA\/COD, mais il faut savoir qu\u2019il sera encore plus important de voir comment\nces structures sont appliqu\u00e9es et observ\u00e9es dans la pratique. Nous avons d\u00e9j\u00e0 formul\u00e9 plusieurs\nobservations concernant l\u2019information contenue dans les documents qui ont \u00e9t\u00e9 produits \u00e0 ce jour en\nmati\u00e8re de gouvernance mais, \u00e0 l\u2019occasion d\u2019un prochain examen portant sur les COA\/COD, nous nous\npencherons plut\u00f4t sur la fa\u00e7on dont les dispositions \u00e9nonc\u00e9es dans ces documents sont concr\u00e8tement\nmises en oeuvre.<\/p>\n\n\n\n

                        ANNEXE A : Types de COA\/COD<\/h2>\n\n\n\n

                        Figure 1 : Divers type de cyberop\u00e9rations. Source : documents d\u2019information du CST<\/em><\/strong><\/p>\n\n\n\n

                        [**figure expurg\u00e9e**]<\/strong><\/p>\n\n\n\n

                        Figure 2 : Distinctions entre les COA et les COD. Source : documents d\u2019information du CST<\/em><\/em><\/strong><\/p>\n\n\n\n

                        \"\"<\/figure>\n\n\n\n
                        Version texte de la figure 2<\/summary>\n\n\n\t\n\t\t\n\t\t\t\n\t\t\n\t\t\t\n\t\t\t\n\t\t\t\n\t\t\t\n\t\t\t\n
                        Figure 2 : Distinctions entre les COA et les COD. Source : documents d\u2019information du CST<\/caption>\n\t
                        CYBEROP\u00c9RATIONS D\u00c9FENSIVES<\/th>\n\t\t\tCYBEROP\u00c9RATIONS ACTIVES<\/th>\n\t\t<\/tr>\n\t<\/thead>\n\t
                        Activit\u00e9s autoris\u00e9es<\/th>\n\t\t\t
                        • Obtenir l'acc\u00e8s \u00e0 une part de l'infrastructure mondiale d'information.<\/li>
                        • Installer, maintenir, copier, distribuer, recherche, modifier, interrompre, supprimer ou intercepter quoi de ce soit dans l'infrastructure mondiale de l'information ou par son entremise pour atteindre un objectif qui ne pourrait pas \u00eatre raisonnablement atteint par d'autres moyens.<\/li>
                        • Prendre toute mesure qui est raisonnablement n\u00e9cessaire pour assurer la nature secr\u00e8te de l'activit\u00e9.<\/li>
                        • Mener toute autre activit\u00e9 qui est raisonnable dans les circonstances et est raisonnablement n\u00e9cessaire pour faciliter l'ex\u00e9cution des activit\u00e9s ou des cat\u00e9gories d'activit\u00e9s vis\u00e9es par l'autorisation minist\u00e9rielle.<\/li><\/ul><\/td>\n\t\t<\/tr>\n\t\t
                        Approbation minist\u00e9rielle<\/th>\n\t\t\tApprobation du MinDN et consultation aupr\u00e8s du MAE.<\/td>\n\t\t\tApprobation du MinDN et consentement ou demande du MAE.<\/td>\n\t\t<\/tr>\n\t\t
                        Finalit\u00e9<\/th>\n\t\t\tAppliquer des mesures en ligne contribuant \u00e0 la protection de l'information \u00e9lectronique et des infrastructures de l'information d'importance pour le gouvernement du Canada.<\/td>\n\t\t\tEndommager, perturber, influencer ou contrer les capacit\u00e9s de tout personne, organisation ou \u00c9tat \u00e9trangers.<\/td>\n\t\t<\/tr>\n\t\t
                        Contexte<\/th>\n\t\t\tInitiated in response to a cyber threat, or proactively to prevent a cyber threat<\/td>\n\t\t\tInitiated in accordance with Ministerial direction as it relates to international affairs defence or security.<\/td>\n\t\t<\/tr>\n\t\t
                        Auteur de menaces \/ Ensemble de cibless<\/th>\n\t\t\tDirig\u00e9es contre des menaces pour les syst\u00e8mes du gouvernement ou les syst\u00e8mes d'importance, quelque soit l'auteur de mance.
                        **Une fois qu'il est certain que l'entit\u00e9 vis\u00e9e n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.<\/td>\n\t\t\t                        		Dirig\u00e9es contre des cibles particulli\u00e8res conform\u00e9ment aux termes d'une autorisation minist\u00e9rielle.
                        **Une fois qu'il est certain que l'entit\u00e9 vis\u00e9e n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.<\/td>\n\t\t<\/tr>\n
                        R\u00e9sultat<\/th>\n\t\t\tCon\u00e7ues dans le but de stopper ou de pr\u00e9venir les menaces dirig\u00e9es contre les infrastructures f\u00e9d\u00e9rales ou d\u00e9sign\u00e9es comme \u00e9tant d'importance, suivant des moyens jug\u00e9s justes et adapt\u00e9s en fonction desdites menaces.<\/td>\n\t\t\tR\u00e9alis\u00e9es dans le but d'atteindre un objectif en mati\u00e8re d'affaires internationales, de d\u00e9fense ou de s\u00e9curit\u00e9 suivant des moyens jug\u00e9s justes et adapt\u00e9s aux circonstances.<\/td>\n<\/tr>\n\t<\/tbody>\n<\/table>\n<\/details>\n\n\n\n

                        ANNEXE B : COA et COD (2019-2020)<\/h2>\n\n\n\n

                        [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                        ANNEXE C : Cadre de travail pour le CST et AMC<\/h2>\n\n\n\n\n\t\n\t\t\n\t\t\t\n\t\t\n\t\t\t\n\t\t\t
                        Groupe\ninterminist\u00e9riel<\/th>\n\t\t\t\u00c9quipe de la haute\ndirection (EHD) du\nCST-AMC<\/th>\n\t\t\tGroupe de travail des DG du\nCST-AMC sur les COA\/COD<\/th>\n\t\t\tNiveau des SMA<\/th>\n\t\t<\/tr>\n\t<\/thead>\n\t
                        Copr\u00e9sidents<\/td>\n\t\t\tCopr\u00e9sidents de l\u2019EHD :\nCST, DG, [**expurg\u00e9**]<\/strong>AMC, DG, Direction\ng\u00e9n\u00e9rale du\nRenseignement<\/td>\n\t\t\tCopr\u00e9sidents :\nCST, DG [**expurg\u00e9**]<\/strong> AMC, DG Direction g\u00e9n\u00e9rale du\nRenseignement\nCompos\u00e9, notamment, de membres\n(niveau des DG) de l\u2019EHD et de\nmembres de leurs \u00e9quipes de\nsoutien respectives.<\/td>\n\t\t\tCopr\u00e9sidents<\/u>: CST, chef adjoint, SIGINT\nAMC, SMA (directeur\npolitique) S\u00e9curit\u00e9\ninternationale\n\t\t\t<\/td>\n\t\t<\/tr>\n\t\t
                        R\u00f4les et\nresponsabilit\u00e9s<\/p>\n\t\t\t<\/td>\n\t\t\t\u00c9change de\nrenseignements sur les\npriorit\u00e9s et plans de\nchacun des minist\u00e8res\nainsi que sur les sph\u00e8res\nde collaboration.<\/br>\n\t\t\t<\/td>\n\t\t\tRelevant de l\u2019EHD, cette entit\u00e9 a \u00e9t\u00e9\n\u00e9tablie pour exercer un mandat de\ncollaboration visant les questions\nrelatives aux COA\/COD.<\/br>\n\n\t\t\tMise en oeuvre du cadre de\ngouvernance associ\u00e9 aux AM visant\nles op\u00e9rations \u2013 en cours ou\nplanifi\u00e9es [**expurg\u00e9**]<\/strong>Relevant de l\u2019EHD, cette entit\u00e9 a \u00e9t\u00e9\n\u00e9tablie pour exercer un mandat de\ncollaboration visant les questions\nrelatives aux COA\/COD.\nMise en oeuvre du cadre de\ngouvernance associ\u00e9 aux AM visant\nles op\u00e9rations \u2013 en cours ou\nplanifi\u00e9es [**expurg\u00e9**]<\/strong>.\nCoordination du partage de\nrenseignement ayant trait \u00e0 la\nplanification op\u00e9rationnelle et \u00e0\nl\u2019ex\u00e9cution des COA\/COD, mais\naussi aux risques connexes et \u00e0 la\nprise en compte de la politique\n\u00e9trang\u00e8re du Canada.\nCollaboration relative au\nrenouvellement, \u00e0 l\u2019\u00e9volution et au\nd\u00e9veloppement des AM en vigueur\nou \u00e0 venir.\n\t\t\t<\/td>\n\t\t\tR\u00e9soudre les probl\u00e8mes\nrelevant de la comp\u00e9tence\ndu GT, mais non r\u00e9solu au\nniveau des DG.\n\t\t\t<\/td>\n\t\t<\/tr>\n\t<\/tbody>\n<\/table>\n\n\n\n

                        ANNEXE D : Conclusions et recommandations<\/h2>\n\n\n\n

                        Constatations<\/h3>\n\n\n\n

                        Conclusion no 1 : Les demandes d\u2019autorisation minist\u00e9rielle pour les cyberop\u00e9rations\nactives et d\u00e9fensives n\u2019offrent pas suffisamment de d\u00e9tails pour que les ministres concern\u00e9s\ncomprennent l\u2019\u00e9tendue des cat\u00e9gories d\u2019activit\u00e9s demand\u00e9es dans l\u2019autorisation. De m\u00eame,\nl\u2019autorisation minist\u00e9rielle ne d\u00e9finit pas suffisamment les cat\u00e9gories d\u2019activit\u00e9s, les techniques\nconnexes et les ensembles de cibles \u00e0 utiliser dans l\u2019ex\u00e9cution des op\u00e9rations.<\/p>\n\n\n\n

                        Conclusion no 2 : L\u2019\u00e9valuation des risques pour la politique \u00e9trang\u00e8re exig\u00e9e suivant deux\nconditions des autorisations minist\u00e9rielles pour les cyberop\u00e9rations actives et d\u00e9fensives\nrepose trop sur la d\u00e9termination technique des risques au d\u00e9triment des \u00e9l\u00e9ments qui\ncaract\u00e9risent la politique \u00e9trang\u00e8re du gouvernement du Canada.<\/p>\n\n\n\n

                        Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de m\u00e9canisme\npermettant de confirmer la conformit\u00e9 d\u2019une cyberop\u00e9ration active (COA) aux grandes priorit\u00e9s\nstrat\u00e9giques du gouvernement du Canada, comme le demandent la Loi sur le CST et\nl\u2019autorisation minist\u00e9rielle. Bien que les objectifs et priorit\u00e9s ne rel\u00e8vent pas uniquement du CST\net d\u2019AMC, ceux-ci dictent les COA sans l\u2019apport de la communaut\u00e9 globale du gouvernement du\nCanada prenant part \u00e0 la gestion des objectifs g\u00e9n\u00e9raux du Canada.<\/p>\n\n\n\n

                        Conclusion no 4 : Le CST et AMC n\u2019ont pas mis en place de seuil permettant de d\u00e9finir et\nde distinguer les cyberop\u00e9rations actives et les cyberop\u00e9rations d\u00e9fensives, une lacune qui\npourrait mener \u00e0 une participation insuffisante de la part d\u2019AMC advenant qu\u2019une op\u00e9ration soit\nconsid\u00e9r\u00e9e \u00e0 tort comme \u00e9tant d\u00e9fensive.<\/p>\n\n\n\n

                        Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d\u2019information\ndans le cadre de cyberop\u00e9rations ne sont pas d\u00e9crites avec exactitude dans les autorisations\nminist\u00e9rielles pour les cyberop\u00e9rations actives et d\u00e9fensives.<\/p>\n\n\n\n

                        Conclusion no 6 : Le processus de [**expurg\u00e9**]<\/strong> lequel a lieu une fois que les\ndocuments de planification ont \u00e9t\u00e9 approuv\u00e9s, contient des informations pertinentes pour les\nplans op\u00e9rationnels g\u00e9n\u00e9raux du CST. Or, il est arriv\u00e9 que la [**expurg\u00e9**]<\/strong> contienne\ndes informations essentielles qui n\u2019apparaissaient pas dans ces autres documents, bien que\ncette pr\u00e9sentation soit approuv\u00e9e \u00e0 un niveau de gestion inf\u00e9rieur.<\/p>\n\n\n\n

                        Conclusion no 7 : Le CST a prodigu\u00e9 \u00e0 ses employ\u00e9s des formations g\u00e9n\u00e9rales leur\npermettant d\u2019acqu\u00e9rir une connaissance des nouveaux pouvoirs autorisant la conduite de\ncyberop\u00e9rations actives et d\u00e9fensives (COA\/COD). Toutefois, il y a lieu de croire que les\nemploy\u00e9s directement impliqu\u00e9s dans les COA\/COD n\u2019auraient une compr\u00e9hension suffisante\nni des \u00e9l\u00e9ments ayant trait aux pouvoirs l\u00e9gaux nouvellement acquis par le CST ni des\nparam\u00e8tres r\u00e9gissant l\u2019application de ces pouvoirs.<\/p>\n\n\n\n

                        Conclusion no 8 : En ce qui concerne les cyberop\u00e9rations actives et d\u00e9fensives, le cadre \u00e9labor\u00e9 par le\nCST et AMC pour \u00e9valuer les obligations du Canada en mati\u00e8re de droit international manque de clart\u00e9\net d\u2019objectivit\u00e9.<\/p>\n\n\n\n

                        Conclusion no 9 : Le CST s\u2019attend \u00e0 ce qu\u2019AMC l\u2019avise de tout changement \u00e0 la politique\n\u00e9trang\u00e8re, mais n\u2019accorde pas assez d\u2019importance \u00e0 la n\u00e9cessit\u00e9 de faire part \u00e0 AMC des autres\nrisques pouvant survenir au cours d\u2019une op\u00e9ration. En outre, des informations essentielles \u00e0\nl\u2019\u00e9valuation d\u2019AMC visant les risques pour la politique \u00e9trang\u00e8re ne figurent pas dans la\ndocumentation que le CST utilise pour mobiliser AMC aux fins d\u2019une op\u00e9ration. Ainsi, il se peut\nque le cadre de consultation actuel n\u2019incite pas le CST \u00e0 communiquer suffisamment\nd\u2019information pour permettre \u00e0 AMC d\u2019\u00e9valuer les risques pour la politique \u00e9trang\u00e8re et de g\u00e9rer les risques qui se pr\u00e9sentent au cours d\u2019une cyberop\u00e9ration.<\/p>\n\n\n\n

                        Recommandations<\/h3>\n\n\n\n

                        Recommandation no 1 : L\u2019OSSNR recommande que le CST d\u00e9finisse plus pr\u00e9cis\u00e9ment\nles cat\u00e9gories d\u2019activit\u00e9s, les techniques connexes et les ensembles de cibles employ\u00e9s dans\nle cadre des cyberop\u00e9rations actives et d\u00e9fensives, ainsi que les motifs et objectifs\nsous-jacents, tant dans les demandes que dans les autorisations minist\u00e9rielles pour ces\nactivit\u00e9s.<\/p>\n\n\n\n

                        Recommandation no 2 : L\u2019OSSNR recommande qu\u2019AMC inclue, dans les autorisations\nminist\u00e9rielles, un m\u00e9canisme d\u2019\u00e9valuation de tous les param\u00e8tres des risques pour la\npolitique \u00e9trang\u00e8re d\u00e9coulant des cyberop\u00e9rations actives et d\u00e9fensives.<\/p>\n\n\n\n

                        Recommandation no 3 : L\u2019OSSNR recommande que le CST et AMC \u00e9tablissent un cadre\nde consultation des intervenants cl\u00e9s, notamment, le conseiller \u00e0 la s\u00e9curit\u00e9 nationale et au\nrenseignement aupr\u00e8s du premier ministre et les autres minist\u00e8res concern\u00e9s, dont les\nmandats touchent les cyberop\u00e9rations actives propos\u00e9es afin que celles-ci s\u2019harmonisent\naux grandes priorit\u00e9s strat\u00e9giques du gouvernement du Canada et que les exigences\n\u00e9nonc\u00e9es dans la Loi sur le CST soient respect\u00e9es.<\/p>\n\n\n\n

                        Recommandation no 4 : L\u2019OSSNR recommande que le CST et AMC instaurent un seuil\nqui permette de distinguer une cyberop\u00e9ration active d\u2019une cyberop\u00e9ration d\u00e9fensive\npr\u00e9ventive, et que ce seuil soit fourni au ministre de la D\u00e9fense nationale dans les\nautorisations minist\u00e9rielles applicables.<\/p>\n\n\n\n

                        Recommandation no 5 : L\u2019OSSNR recommande que le CST, dans ses demandes\npr\u00e9sent\u00e9es au ministre de la D\u00e9fense nationale, d\u00e9crive avec exactitude la possibilit\u00e9 que,\ndans le cadre de cyberop\u00e9rations actives et d\u00e9fensives, des activit\u00e9s de collecte se d\u00e9roulent\nau titre d\u2019autorisations distinctes.<\/p>\n\n\n\n

                        Recommandation no 6 : L\u2019OSSNR recommande que le CST inscrive toutes les\ninformations pertinentes \u2013 y compris les informations sur le ciblage et le contexte \u2013 dans tous\nles plans op\u00e9rationnels qui sont produits dans le cas d\u2019une cyberop\u00e9ration ainsi que dans\ntout document soumis \u00e0 l\u2019attention d\u2019AMC.<\/p>\n\n\n\n

                        Recommandation no 7 : L\u2019OSSNR recommande que le CST offre un programme de\nformation structur\u00e9 aux employ\u00e9s prenant part \u00e0 l\u2019ex\u00e9cution des cyberop\u00e9rations actives et\nd\u00e9fensives (COA\/COD). Ce faisant, le CST s\u2019assurerait que lesdits employ\u00e9s poss\u00e8dent une\nconnaissance ad\u00e9quate des pouvoirs l\u00e9gaux, des exigences et des interdictions stipul\u00e9es\ndans les autorisations minist\u00e9rielles.<\/p>\n\n\n\n

                        Le CST et AMC devraient fournir une \u00e9valuation du r\u00e9gime juridique international applicable \u00e0 la conduite de COA et de COD. De plus, le CST devrait demander \u00e0 ce qu\u2019AMC m\u00e8ne et consigne une \u00e9valuation compl\u00e8te sur le plan juridique de la conformit\u00e9 de chaque op\u00e9ration au droit international.<\/p>\n\n\n\n

                        Recommandation no 9 : L\u2019OSSNR recommande que le CST et AMC s\u2019\u00e9changent toute\nl\u2019information pertinente et se tiennent au courant de tous les nouveaux d\u00e9veloppements ayant\nune incidence sur l\u2019\u00e9valuation des risques associ\u00e9s aux cyberop\u00e9rations, et ce, tant au stade\nde la planification qu\u2019\u00e0 celui de l\u2019ex\u00e9cution.<\/p>\n<\/div><\/div>\n<\/div><\/div><\/section>\n\n\n\n

                        <\/p>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":3255,"parent":7468,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"template-nsira-subpages.php","meta":{"inline_featured_image":false},"categories":[9,24],"tags":[],"yoast_head":"\nCommunications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-02\/rapport\/\" \/>\n<meta property=\"og:locale\" content=\"fr_CA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency\" \/>\n<meta property=\"og:url\" content=\"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-02\/rapport\/\" \/>\n<meta property=\"og:site_name\" content=\"National Security and Intelligence Review Agency\" \/>\n<meta property=\"article:modified_time\" content=\"2025-05-26T19:09:51+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/nsira-ossnr.gc.ca\/wp-content\/uploads\/Reviews-Featured-2.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t<meta property=\"og:image:height\" content=\"500\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Estimation du temps de lecture\" \/>\n\t<meta name=\"twitter:data1\" content=\"49 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/\",\"url\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/\",\"name\":\"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency\",\"isPartOf\":{\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/#website\"},\"datePublished\":\"2025-01-30T15:37:34+00:00\",\"dateModified\":\"2025-05-26T19:09:51+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/#breadcrumb\"},\"inLanguage\":\"fr-CA\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Reviews\",\"item\":\"\/reviews\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Find A Review\",\"item\":\"\/reviews\/find-a-review\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations\",\"item\":\"\/reviews\/find-a-review\/20-02\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/#website\",\"url\":\"https:\/\/nsira-ossnr.gc.ca\/\",\"name\":\"National Security and Intelligence Review Agency\",\"description\":\"Official Website\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/nsira-ossnr.gc.ca\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-CA\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-02\/rapport\/","og_locale":"fr_CA","og_type":"article","og_title":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency","og_url":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-02\/rapport\/","og_site_name":"National Security and Intelligence Review Agency","article_modified_time":"2025-05-26T19:09:51+00:00","og_image":[{"width":350,"height":500,"url":"https:\/\/nsira-ossnr.gc.ca\/wp-content\/uploads\/Reviews-Featured-2.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Estimation du temps de lecture":"49 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/","url":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/","name":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report - National Security and Intelligence Review Agency","isPartOf":{"@id":"https:\/\/nsira-ossnr.gc.ca\/#website"},"datePublished":"2025-01-30T15:37:34+00:00","dateModified":"2025-05-26T19:09:51+00:00","breadcrumb":{"@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/#breadcrumb"},"inLanguage":"fr-CA","potentialAction":[{"@type":"ReadAction","target":["https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/20-02\/report\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Reviews","item":"\/reviews\/"},{"@type":"ListItem","position":2,"name":"Find A Review","item":"\/reviews\/find-a-review\/"},{"@type":"ListItem","position":3,"name":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations","item":"\/reviews\/find-a-review\/20-02\/"},{"@type":"ListItem","position":4,"name":"Communications Security Establishment\u2019s Governance of Active and Defensive Cyber Operations: Report"}]},{"@type":"WebSite","@id":"https:\/\/nsira-ossnr.gc.ca\/#website","url":"https:\/\/nsira-ossnr.gc.ca\/","name":"National Security and Intelligence Review Agency","description":"Official Website","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/nsira-ossnr.gc.ca\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-CA"}]}},"_links":{"self":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/8537"}],"collection":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/comments?post=8537"}],"version-history":[{"count":7,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/8537\/revisions"}],"predecessor-version":[{"id":9042,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/8537\/revisions\/9042"}],"up":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/7468"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/media\/3255"}],"wp:attachment":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/media?parent=8537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/categories?post=8537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/tags?post=8537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}