Le comité de sécurité découvre des lacunes dans les cyberdéfense fédérales qui mettent en danger des données vitales
OTTAWA — Le comité de députés et de sénateurs qui supervise la politique de sécurité fédérale a découvert des lacunes dans les cyberdéfense du Canada qui pourraient rendre de nombreux organismes vulnérables aux pirates parrainés par l’État de pays comme la Chine et la Russie.
Dans un nouveau rapport, le Comité des parlementaires sur la sécurité nationale et le renseignement affirme que les cybermenaces contre les systèmes et réseaux gouvernementaux constituent un risque important pour la sécurité et les opérations gouvernementales du Canada.
Il désigne Pékin et Moscou comme les acteurs de la cybermenace les plus sophistiqués ciblant le gouvernement, tandis que l’Iran et la Corée du Nord ont des capacités modérément avancées et présentent moins de danger.
Le comité affirme que bien que les États-nations représentent les menaces les plus développées, tout acteur ayant une intention malveillante et des capacités sophistiquées met en danger les données du gouvernement et l’intégrité de son infrastructure électronique.
Le rapport conclut que le gouvernement fédéral a mis en place un système de cyberdéfense solide pour contrer cette menace au cours de la dernière décennie.
Cependant, il est affaibli par l’application incohérente des politiques et l’utilisation des services de cyberdéfense dans l’ensemble du gouvernement.
Le rapport, déposé au Parlement lundi soir, est une version expurgée d’un document classifié soumis au premier ministre Justin Trudeau en août dernier.
Les gouvernements sont des cibles très attrayantes pour les cyberattaques, indique le rapport.
« Le gouvernement fédéral détient d’énormes quantités de données sur les Canadiens, les entreprises canadiennes et les secteurs innovateurs comme les universités et les instituts de recherche. La compromission de ces données pourrait révéler des renseignements personnels sensibles sur les Canadiens et saper la vitalité des entreprises individuelles et de l’économie.
Le gouvernement gère également les relations étrangères, commerciales et de sécurité par le biais d’infrastructures électroniques qui, si elles sont compromises, pourraient nuire aux politiques fédérales et saper les intérêts vitaux du Canada, ajoute le rapport.
Il fournit de nouveaux détails sur la nature radicale d’une attaque précoce par un attaquant parrainé par l’État chinois qui a servi de « réveil » au gouvernement fédéral.
Entre août 2010 et août 2011, la Chine a ciblé 31 départements, dont huit ont subi de graves compromissions. Les pertes d’informations ont été considérables, y compris les communications par e-mail de hauts fonctionnaires et le vol massif d’informations de plusieurs départements, telles que des notes d’information, des documents de stratégie, du matériel secret et des données de mot de passe et de système de fichiers.
Le rapport révèle également de nouvelles informations sur une attaque débilitante de 2014 contre le Conseil national de la recherche, affirmant qu’un acteur parrainé par l’État chinois a utilisé son accès au réseau pour voler plus de 40 000 fichiers.
« Le vol comprenait la propriété intellectuelle, la recherche avancée et les informations commerciales exclusives des partenaires du NRC. La Chine a également tiré parti de son accès au réseau du NRC pour infiltrer un certain nombre d’organisations gouvernementales. »
Il a coûté plus de 100 millions de dollars pour régler le problème.
Trois organisations, le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada et le Centre de la sécurité des télécommunications, travaillent en étroite collaboration – et avec d’autres ministères – sur la cyberdéfense fédérale, indique le rapport.
Idéalement, dans le cadre du système, les réseaux gouvernementaux relèvent d’un périmètre électronique unique avec une poignée de points d’accès à Internet qui sont surveillés par des capteurs sophistiqués capables de détecter et de bloquer les menaces connues.
Les départements doivent continuellement mettre à jour et corriger leurs appareils et systèmes sous la direction, les conseils et les conseils coordonnés des trois organisations, ajoute le rapport.
Cependant, le système de cyberdéfense actuel « n’a pas encore atteint cet idéal ».
Les principales faiblesses comprennent :
— Les politiques du Conseil du Trésor relatives à la cyberdéfense ne sont pas appliquées de la même manière aux ministères et organismes, ce qui crée des lacunes dans la protection des réseaux gouvernementaux contre les cyberattaques;
— Les sociétés d’État sont des cibles connues des acteurs étatiques, mais ne sont pas assujetties aux directives ou politiques du Conseil du Trésor en matière de cyberdéfense et ne sont pas obligées d’obtenir des services de cyberdéfense du gouvernement, ce qui met leurs données en danger ; et
— Les services de cyberdéfense sont fournis de manière incohérente, ce qui signifie, par exemple, que de nombreux organismes ne bénéficient pas de l’aide complète de Services partagés Canada.
« La menace posée par ces lacunes est claire », indique le rapport. « Les données des organisations non protégées par le cadre gouvernemental de cyberdéfense courent un risque important. »
De plus, les organisations non protégées agissent potentiellement « comme un maillon faible » dans les défenses du gouvernement en maintenant la connectivité électronique avec les organisations dans le cadre de la cyberdéfense, créant des risques pour le gouvernement dans son ensemble.
Dans les réponses incluses dans le rapport, le gouvernement a accepté les diverses recommandations du comité pour combler les lacunes.
Ce rapport de La Presse canadienne a été publié pour la première fois le 15 février 2022.