Ottawa encadrera la cybersécurité de secteurs essentiels

Répondre
Avatar du membre
cgelinas
Administrateur
Messages : 7781
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

15 juin 2022


Le gouvernement fédéral se réserve le droit de dicter aux entreprises de télécommunications n’importe quelle mesure essentielle à la sécurité nationale, selon un projet de loi déposé mardi qui rend possible l’interdiction annoncée de Huawei et de ZTE au Canada.

Ottawa prévoit aussi obliger les entreprises des secteurs de la finance, de l’énergie, des transports et des télécommunications de l’informer de toutes les attaques informatiques qu’elles subissent. Ces compagnies sous responsabilité fédérale devront en plus se doter d’un plan de cybersécurité.

« L’infrastructure de télécommunications, c’est l’un des secteurs les plus importants, voire le plus important de l’économie de demain. [Il faut] protéger cette infrastructure-là face aux attaques de sécurité pour assurer la résilience », a expliqué le ministre fédéral de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne, en marge du dévoilement du projet de loi C-26.

Le gouvernement canadien s’est rendu compte au fil des rapports d’experts qu’il ne disposait d’aucune loi lui permettant de forcer des entreprises de télécommunications à corriger les failles qui les rendent vulnérables aux attaques de pirates informatiques ou d’États hostiles, comme de faire affaire avec un fournisseur « à haut risque ».

La première action qu’il entreprendra après l’entrée en vigueur de cette nouvelle loi sera de bannir Huawei et ZTE du développement des réseaux 5G canadiens, comme annoncé le mois dernier après deux ans et demi de tergiversations.

Les entreprises de télécommunications, comme les fournisseurs de téléphonie cellulaire ou d’Internet, par exemple, s’exposent à une amende allant jusqu’à 10 millions de dollars si elles se voient tentées de braver un décret fédéral sur la sécurité nationale. Ce montant peut grimper à 15 millions de dollars pour chaque récidive.

Réduire l’autorégulation

Les menaces de piratage informatique ont pris une place croissante au Canada dans le « monde connecté post-COVID », ont expliqué aux médias de hauts responsables de la sécurité publique fédérale. Ottawa a recensé 304 incidents de cybersécurité l’an dernier, un nombre considéré comme « sous-estimé », puisque les entreprises n’ont pas pour l’instant l’obligation de les déclarer.

Près de la moitié de ces incidents toucheraient des infrastructures essentielles à la sécurité nationale du pays. Les fonctionnaires précisent bien que les attaques ne proviennent pas nécessairement d’autres pays, mais peuvent aussi provenir de groupes criminels motivés par des gains financiers, comme en cas de rançongiciel.

« Le gouvernement a longtemps laissé l’industrie s’autoréguler, explique Jean-Christophe Boucher, professeur adjoint à l’École de politiques publiques de l’Université de Calgary. Ce qu’on a découvert, c’est que ça ne marche pas. »

Même des compagnies qui gèrent des infrastructures essentielles au Canada, comme les pipelines ou des réseaux électriques, n’investissent pas assez dans la cybersécurité et ne divulguent pas nécessairement les attaques dont elles sont victimes, dit-il. « Il est largement le temps que le gouvernement adopte des lois qui vont améliorer la cybersécurité. »

Le constat est partagé par Nicolas Pellerin-Roy, chercheur associé à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand de l’UQAM.

« En ce moment, les entreprises sont autonomes dans la manière dont ils gèrent la cybersécurité et interviennent. La plupart des entreprises touchées ont probablement déjà des plans de cybersécurité. [Mais] souvent, leurs dirigeants ne comprennent pas l’urgence ou l’importance d’avoir une bonne protection. Là, ils vont être obligés de prendre ça au sérieux. »

Portée de la loi à définir

Le gouvernement entend consulter les régulateurs des quatre secteurs « essentiels à la sécurité nationale » visés par le projet de loi pour déterminer plus précisément à quelles entreprises incomberont les nouvelles obligations.

« L’approche est de continuer l’autorégulation [des entreprises de ces secteurs], mais de l’utiliser en partenariat [avec le gouvernement], selon les obligations du projet de loi », a expliqué le ministre de la Sécurité publique, Marco Mendicino, le parrain du projet de loi C-26.

Même si les entreprises visées vont devoir indiquer au gouvernement quand elles sont victimes d’une attaque informatique, leurs clients ou le grand public ne seront pas pour autant avisés. Cela constituerait l’équilibre entre les impératifs de transparence et de sécurité nationale, selon le ministre Mendicino.

Le ministre souhaite que son texte serve d’inspiration aux provinces et aux municipalités pour qu’elles se dotent elles aussi d’un mécanisme de diffusion d’information avec les entreprises sous leur gouverne. C-26 n’a aucune chance d’être adopté avant la pause estivale de la Chambre des communes, prévue pour le 23 juin. Il sera étudié au retour des députés à Ottawa, l’automne prochain [2022].



Source: MSN / Le Devoir



-- -- --
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Répondre