Notes des comités parlementaires : Vue d'ensemble de la Loi concernant la cybersécurité

Partie 1 : Modifications à la Loi sur les télécommunications

La Loi sur les télécommunications devrait être modifiée de façon à ajouter l'objectif stratégique suivant :« favoriser la sécurité du système de télécommunication du Canada »
Un pouvoir de prendre un décret ou un arrêté ministériel serait conféré au gouverneur en conseil et au ministre de l'Industrie en rapport avec cet objectif stratégique, lequel pourrait servir à contraindre les fournisseurs de services de télécommunication (FST) canadiens à prendre des mesures, au besoin.
Doté de ces pouvoirs, le gouvernement pourrait prendre des mesures liées à la sécurité, de la même manière que d'autres organismes fédéraux de réglementation peuvent le faire dans leurs secteurs d'infrastructures essentielles respectifs.
Industrie, Sciences et Développement économique Canada (ISDEC) exercera ses responsabilités en matière de réglementation, et un régime de sanctions pécuniaires serait établi afin de promouvoir le respect des décrets, des arrêtés ministériels et des règlements pris par le gouverneur en conseil ou le ministre de l'Industrie.
Une fois que les modifications apportées à la Loi sur les télécommunications auront reçu la sanction royale, des décrets ou des arrêtés ministériels pourraient être pris à l'égard des FST.

Partie 2 : Loi sur la protection des cybersystèmes essentiels (LPCE)

Renseignements généraux

Comme la cybersécurité est un enjeu horizontal qui devrait être assorti des mêmes objectifs dans tous les secteurs et géré dans le cadre d'une intervention gouvernementale simplifiée, la LPCE sera mise en œuvre dans le cadre d'un processus de collaboration auquel participeront six ministères et organismes du gouvernement du Canada : Sécurité publique Canada, ISDEC, Transports Canada, Ressources naturelles Canada, le ministère des Finances et le Centre de la sécurité des télécommunications Canada.
L'annexe 1 de la Loi désigne les services et les systèmes qui sont essentiels à la sécurité nationale ou à la sécurité publique des Canadiens. Actuellement, l'annexe 1 comprend ce qui suit :
- les services de télécommunication;
- les systèmes de transport;
- dans le secteur des finances : les systèmes bancaires et systèmes de compensation et de règlement;
- dans le secteur de l'énergie : les réseaux de pipelines et systèmes de lignes électriques interprovinciaux ou internationaux et les systèmes d'énergie nucléaire.
L'annexe 2 de la Loi définira les catégories d'exploitants des services et systèmes essentiels énoncés à l'annexe 1. Les exploitants faisant partie d'une catégorie sont des exploitants désignés au titre de la Loi.
Ministre de la Sécurité publique : Conformément à la responsabilité d'exercer un leadership dans les domaines liés à la sécurité nationale et à la sécurité publique, le ministre assumera la responsabilité générale de la loi et dirigera un certain nombre de processus liés à la LPCE.
Autres ministres et gouverneur en conseil : La prise de décision par le gouverneur en conseil au titre de la LPCE fait en sorte qu'un large éventail de facteurs pertinents (y compris la sécurité nationale, les priorités économiques, le commerce, la compétitivité, les accords et engagements internationaux) soit pris en compte dans les décisions qui ont une incidence sur l'ensemble des secteurs.
Responsables de la réglementation : La LPCE tire parti de l'expertise des responsables de la réglementation et des relations qu'ils entretiennent avec les entités qu'ils réglementent actuellement conformément aux dispositions législatives en vigueur^{Note de bas de page 1}. L'annexe 2 de la LPCE désignera les catégories d'exploitants désignés ainsi que le responsable de la réglementation chargé d'appliquer la LPCE dans chaque catégorie.
Cybercentre : Le Cybercentre est chargé de recevoir les rapports des incidents de cybersécurité au titre de la LPCE, ce qui lui permettra d'utiliser l'information y figurant pour informer le gouvernement et tous les exploitants de cybersystèmes des menaces pour la cybersécurité et de la façon de mieux se préparer aux cyberincidents, se protéger contre eux et se rétablir. Les intervenants du Cybercentre recevront des ressources qui leur permettront de fournir des conseils, des directives et des services :
- aux exploitants désignés pour les aider à protéger leurs cybersystèmes essentiels;
- aux responsables de la réglementation pour les aider dans leurs tâches et leurs fonctions de surveillance et d'évaluation de la conformité;
- à Sécurité publique Canada et aux ministères responsables ainsi qu'à leurs ministres, au besoin, pour les aider à exercer leurs pouvoirs et leurs fonctions en vertu de la Loi.

Obligations des exploitants désignés

Programme de cybersécurité

La LPCE exigera des exploitants désignés qu'ils établissent un programme de cybersécurité qui documente la façon dont la protection et la résilience de leurs cybersystèmes essentiels seront assurées.
Les programmes de cybersécurité devront être établis dans les 90 jours suivant la date à laquelle les exploitants seront assujettis à la Loi (c.-à-d. La date à laquelle ils seront ajoutés à une catégorie à l'annexe 2 de la LPCE). Une fois établis, les programmes de cybersécurité devront être mis en œuvre; par ailleurs, les exploitants désignés devront les tenir à jour et les adaptés aux menaces changeantes et à l'évolution de la technologie.
Les programmes de cybersécurité devront contenir des mesures raisonnables permettant :
- de recenser et de gérer les risques liés à la cybersécurité de l'organisation, y compris les risques liés à la chaîne d'approvisionnement de l'exploitant et à l'utilisation de produits et de services de tierces parties;
- de prévenir la compromission de leurs cybersystèmes essentiels;
- de détecter les incidents de cybersécurité ayant ou pouvant avoir une incidence sur les cybersystèmes essentiels;
- de réduire au minimum les répercussions des incidents de cybersécurité sur les cybersystèmes essentiels.

Atténuation des risques liés à la chaîne d'approvisionnement

Compte tenu de la complexité croissante des chaînes d'approvisionnement^{Note de bas de page 2} et de la dépendance accrue à l'égard de l'utilisation de produits et de services de tierces parties (p. ex. le stockage de données dans le nuage ou les infrastructures en tant que services), les exploitants désignés peuvent être exposés à des risques importants de cybersécurité provenant de ces sources. Lorsque, dans son programme de cybersécurité, un exploitant désigné recense un risque en matière de cybersécurité pour ses cybersystèmes essentiels en relation avec sa chaîne d'approvisionnement ou son utilisation de services ou de produits de tierces parties, la LPCE exige que cet exploitant désigné prenne des mesures raisonnables pour atténuer ces risques.
Les « mesures raisonnables » pour atténuer les risques s'entendent des mesures qui visent :
- soit à réduire la probabilité que le risque se réalise (p. ex. protéger sa chaîne d'approvisionnement en rédigeant soigneusement des accords contractuels lui permettant de mieux surveiller la fabrication de l'équipement; soit à choisir un autre fournisseur d'équipement);
- soit à atténuer les répercussions d'un risque qui se réalise.

Signalement obligatoire des incidents de cybersécurité

Une nouvelle obligation de signaler les incidents de cybersécurité est créée en vertu de la LPCE, ce qui permettra au gouverneur en conseil de disposer d'une source d'information fiable sur les menaces en matière de cybersécurité pesant sur les cybersystèmes essentiels. La disponibilité des rapports d'incident améliorera la surveillance du contexte global des menaces pour le Centre canadien pour la cybersécurité.
Les conclusions des analyses des rapports d'incident permettront au Centre canadien pour la cybersécurité d'avertir les autres exploitants désignés et tout exploitant d'un cybersystème de la présence de menaces ou de vulnérabilités potentielles, et d'informer les Canadiens des risques et des tendances en matière de cybersécurité, afin que la détection par une organisation serve à la prévention d'une autre.
Au titre de la LPCE, les exploitants désignés seront tenus de signaler au Centre de la sécurité des télécommunications les incidents de cybersécurité qui ont ou peuvent avoir une incidence sur leurs cybersystèmes essentiels, et ce afin que le Centre canadien pour la cybersécurité puisse les utiliser.
- Un seuil définissant cette obligation de signalement sera fixé dans les dispositions réglementaires.

Directive sur la cybersécurité

Le gouvernement du Canada peut être informé, par divers mécanismes, des risques pour la sécurité nationale ou la sécurité publique qui résultent de vulnérabilités de la cybersécurité et de menaces connexes pour les cybersystèmes essentiels et pour les services ou systèmes essentiels qui en dépendent.
La LPCE confère un nouveau pouvoir au gouvernement : en vertu de la Loi, le gouverneur en conseil sera autorisé à donner des directives sur la cybersécurité s'il juge que des mesures particulières doivent être prises afin de protéger un cybersystème essentiel contre une menace ou une vulnérabilité connue.
Les directives sur la cybersécurité viseraient certains exploitants désignés ou certaines catégories d'exploitants désignés, qui seraient tenus de prendre les mesures indiquées dans ces directives pour protéger un cybersystème essentiel, et de le faire dans un délai précis (p. ex. « l'exploitant A doit prendre la mesure X dans un délai de 30 jours »).
- Un exploitant désigné qui ne se conforme pas aux directives sur la cybersécurité s'expose à une sanction administrative pécuniaire ou à une infraction réglementaire pouvant entraîner une amende ou une peine d'emprisonnement.
La LPCE comprend également des mesures de protection faisant en sorte que les informations sensibles (par exemple les informations transmises à titre confidentiel par des alliés internationaux du Canada) ne puissent être divulguées.

Note de bas de page 1

Alors que les responsables de la réglementation continuent de développer leur expertise en matière de cybersécurité par eux-mêmes au fil du temps, ils tireront parti de l’expertise mise à leur disposition par le Cybercentre afin de soutenir leurs activités dans le cadre de la LPCE.

Retour à la première référence de la note de bas de page 1

Note de bas de page 2

Les préoccupations concernant la chaîne d’approvisionnement découlent de la faible visibilité sur le plan de la fabrication et la distribution; les clients ignorent ainsi la présence, par exemple, de technologies préoccupantes que pourrait contenir l’équipement qu’ils achètent.

Retour à la première référence de la note de bas de page 2

Date de modification :: 2024-06-04

Sélection de la langue

Recherche et menus

Recherche