Stratégie canadienne de cybersécurité

Un bilan mitigé pour le gouvernement fédéral

Hugo Loiseau
Hugo Loiseau

En matière de cybersécurité, le Canada fait preuve de lenteur et d’un manque de cohérence dans l’élaboration de mesures stratégiques concrètes. Le professeur Hugo Loiseau, de l’Université de Sherbrooke, a analysé le comportement du gouvernement fédéral dans le cyberespace, et plus précisément l’évolution de la stratégie canadienne en matière de cybersécurité. Menée en collaboration avec deux autres chercheurs, la recherche fera l’objet d’une présentation publique lors du Congrès de l’Acfas 2013, le vendredi 10 mai.

«Depuis l’arrivée de l’Internet au début des années 1980, le gouvernement du Canada a pris un délai considérable pour prendre conscience des risques qu’il comporte et pour mettre en œuvre des mesures tangibles afin de réduire ces menaces, souligne le politologue. Ce contexte n’aide ni à sécuriser le cyberespace ni à réagir aux menaces engendrées par la dépendance des citoyens, des entreprises et des institutions envers cet espace virtuel.»

D’abord annoncée en 2002, puis en 2005 et en 2009, la Stratégie de cybersécurité du Canada a finalement été adoptée en octobre 2010. La vérificatrice générale a d’ailleurs critiqué la lenteur des développements, et ce, à maintes reprises.

Les réseaux et systèmes canadiens sont des cibles attrayantes, tant pour des groupes organisés, des criminels ou des terroristes. Qu’entend-on par cybermenace? L’intrusion dans les systèmes pour obtenir des renseignements privés, du matériel de sécurité nationale, des secrets industriels. La destruction et l’interruption de service ou le bri de l’infrastructure fait également partie des menaces réelles.

La stratégie est-elle adéquate et adaptée aux réalités actuelles?

Le cyberespace évolue avec une rapidité extrême. Or le processus gouvernemental et législatif est très long. «Par exemple, dans la stratégie de cybersécurité du Canada, il n’y a rien sur Facebook, Twitter et les médias sociaux, parce que la stratégie a été conçue avant que cette réalité ne devienne prédominante», souligne le professeur Loiseau.

Une grande partie de la stratégie est dédiée à la protection du gouvernement lui-même. Elle donne des principes aux différents ministères afin qu’eux-mêmes sécurisent leurs réseaux. «Autre problème, relève Hugo Loiseau, cette tâche est répartie entre cinq institutions différentes. Cette multitude d’infrastructures crée des chevauchements et des incompréhensions face aux rôles de chacun. Il y a un grand manque de cohérence.»

Que fait le Canada pour sécuriser ses infrastructures essentielles?

Le professeur Loiseau a analysé les actions concrètes qui ont été déployées. «Le Canada tente de réguler le cyberespace selon deux dimensions. La sécurité, d’une part, soit sécuriser l’accès aux réseaux et prévenir les futures failles, et d’autre part, la protection des infrastructures essentielles, c’est-à-dire tous les réseaux qui permettent l’existence de l’Internet», dit-il.

«Pour protéger les infrastructures essentielles, dont les réseaux de téléphonie et de câblodistribution, les réseaux satellitaires et les réseaux de transport d’énergie, le Canada a des défis considérables, poursuit le professeur. Ces infrastructures sont détenues à 85 % par des entreprises privées et les provinces. Aussi, le gouvernement tente d’établir un dialogue national pour développer une approche intégrée. Mais cette stratégie est-elle réaliste?»

Quant à sécuriser l’accès aux réseaux, beaucoup de travail reste à faire. Le spécialiste donne un exemple éloquent : «En 2011, le Canada figurait parmi les huit pays hébergeant le plus de logiciels malveillants à l’échelle mondiale. Cette réalité expose clairement les limites des différentes politiques et les vulnérabilités encore présentes dans la cybersécurité canadienne.»

Des pistes de solution

L’élaboration d’une approche multilatérale de la cybersécurité entre les pays s’avère essentielle. «Le gouvernement fédéral devrait entreprendre la création d’une communauté d’États qui partagent la vision du Canada en matière de cybersécurité dans le but de favoriser certains comportements collaboratifs au niveau international», indique Hugo Loiseau.

«De plus, le gouvernement doit créer une cohérence interne pour éviter les redondances dans les juridictions et améliorer l’interopérabilité. L’amélioration de la résilience des réseaux de télécommunication demeure critique. Bref des investissements majeurs sont requis», conclut le professeur.

Les travaux de recherche sont le fruit d’un travail collaboratif entre le professeur Hugo Loiseau, de l’École de politique appliquée de l’UdeS, Lina Lemay, professionnelle aux mesures d’urgence et au développement durable du CSSS-IUGS, et Charles-Antoine Millette, doctorant à l’UQAM.