En décembre, je vous livrais un article sur l’incursion, disons fort probable, du Parti communiste chinois dans les réseaux de télécommunication de nos voisins américains. L’attaque nommée Salt Typhoon a exfiltré des données personnelles des utilisateurs, des informations sensibles sur l’infrastructure réseau et des identifiants d’employés, compromettant ainsi la sécurité des communications et facilitant de potentielles attaques futures.
De notre côté, au Canada, l’Agence de la sécurité des télécommunications du Canada (CST) a déclaré le 7 décembre 2024 qu’elle «n’est pas au courant de réseaux canadiens touchés par cette activité». Bref, on ne le sait pas, mais on s’en doute un peu.
On peut dire que 2024 s’est terminé par un rappel à la réalité face à la cybersécurité des infrastructures critiques. Le paysage de la cybersécurité aux États-Unis a été profondément secoué par la découverte de cette campagne d’espionnage. Cette intrusion, qualifiée de «pire attaque télécoms de l’histoire de la nation», a ciblé au moins neuf grands fournisseurs de télécommunications américains, dont AT&T, Verizon et T-Mobile.
La nécessité d’une stratégie globale de cybersécurité était déjà reconnue aux États-Unis. Elle visait à mobiliser les mandataires d’infrastructures critiques, leurs fournisseurs et les acteurs des chaînes d’approvisionnement essentielles. L’augmentation du rythme et de la complexité des attaques a simplement accéléré ce processus. Je vous propose donc un petit résumé, non exhaustif, de ce qui s’est passé au sud dans les derniers mois.
Mesures de cybersécurité renforcées
Face à cette menace, le gouvernement américain a rapidement mis en place une série de mesures visant à renforcer la cybersécurité nationale:
Nouvel ordre exécutif sur la cybersécurité
Le 13 janvier 2025, le président Biden devrait signer un ordre exécutif visant à renforcer les normes de cybersécurité pour les agences fédérales et les contractants. Les principales dispositions de cet ordre incluent:
- L’utilisation de l’intelligence artificielle (IA) pour la défense cybernétique, notamment un programme au Pentagone pour utiliser des modèles d’IA afin d’améliorer les efforts de cyberdéfense.
- Des exigences plus strictes pour le développement sécurisé de logiciels par les contractants fédéraux.
- Le renforcement de la sécurité des systèmes infonuagiques utilisés par le gouvernement fédéral.
- La mise en œuvre d’une «authentification d’identité forte et d’un chiffrement» pour les communications gouvernementales.
Lancement du «U.S. Cyber Trust Mark»
Le 7 janvier dernier, la Maison-Blanche a officiellement lancé le «U.S. Cyber Trust Mark», un programme volontaire d’étiquetage de cybersécurité pour les appareils connectés grand public.
Renforcement des partenariats public-privé
L’administration Biden a également mis l’accent sur le renforcement des partenariats public-privé en matière de cybersécurité, notamment:
- Des subventions et des réductions sur les produits de sécurité optimisés pour les petits hôpitaux.
- La fourniture de ressources de cybersécurité gratuites ou à faible coût pour les districts scolaires.
- Le lancement du programme «Illicit Virtual Asset Notification» pour lutter contre la criminalité financière liée aux cryptomonnaies et aux rançongiciels.
Nouvelles réglementations de la FCC
Le 11 décembre 2024, la Federal Communications Commission (FCC) a proposé de nouvelles règles obligeant les opérateurs de télécommunications à sécuriser leurs réseaux contre les intrusions illégales. Ces mesures comprennent:
- Une déclaration obligatoire confirmant que les opérateurs sont légalement tenus de sécuriser leurs réseaux.
- L’exigence pour les fournisseurs d’établir des plans de gestion des risques de cybersécurité et de certifier annuellement leur conformité à ces plans.
Directives fédérales renforcées
Le 5 septembre 2024, la Cybersecurity and Infrastructure Security Agency, la National Security Agency et le FBI ont publié des directives actualisées pour les fournisseurs de télécommunications et autres organisations d’infrastructures critiques. Ces directives mettent l’accent sur:
- La gestion des configurations;
- La gestion des vulnérabilités;
- La segmentation des réseaux;
- Le partage d’informations à l’échelle du secteur.
Projet de loi «Secure American Communications Act»
En janvier 2025, le sénateur Ron Wyden a introduit un projet de loi exigeant que la FCC mette en œuvre des exigences de cybersécurité spécifiques.
Préparation à l’ère quantique: les normes FIPS
Le 13 août 2024, le NIST a finalisé trois nouvelles normes Federal Information Processing Standards (FIPS) pour la cryptographie post-quantique. Ces normes FIPS représentent une avancée significative dans la préparation à l’ère de l’informatique quantique. Leur adoption progressive dans les systèmes gouvernementaux et privés sera cruciale pour maintenir la sécurité des communications et des données sensibles à long terme.
Que se passe-t-il du côté canadien?
Collaboration internationale
Le 7 décembre 2024, le Centre canadien pour la cybersécurité (CCC) a participé à une publication conjointe avec les États-Unis, l’Australie et la Nouvelle-Zélande pour fournir des conseils de sécurité aux entreprises de télécommunications sur le renforcement de leurs infrastructures.
Renforcement de la surveillance
Le CCC a intensifié sa collaboration avec les partenaires gouvernementaux et les fournisseurs d’infrastructures critiques pour les aider à protéger leurs réseaux contre les cybermenaces.
Nouvelle évaluation des cybermenaces
Le 15 octobre 2024, le Canada a publié une évaluation nationale des cybermenaces pour 2025-2026, soulignant que les adversaires étatiques du Canada deviennent plus agressifs dans le cyberespace et ciblent les infrastructures critiques.
Mort des projets de loi C-26 et C-27
Les projets de loi C-26 et C-27 visent respectivement à renforcer la cybersécurité des infrastructures critiques et à moderniser la législation canadienne sur la protection des données personnelles et l’intelligence artificielle.
Par suite de la prorogation du Parlement canadien le 6 janvier 2025, les projets de loi C-26 et C-27 sont effectivement morts au feuilleton, mettant fin à leur progression législative.
La prorogation, qui met fin à une session parlementaire, entraîne l’abandon de tous les travaux en cours, y compris les projets de loi qui n’ont pas reçu la sanction royale. Pour que ces projets de loi deviennent des lois, ils devront être réintroduits dans la nouvelle session parlementaire et recommencer tout le processus législatif depuis le début.
Bien que cela représente un revers pour ces initiatives visant à renforcer la cybersécurité et la protection des données personnelles au Canada, il est possible que le gouvernement choisisse de les réintroduire. Ces projets pourraient inclure des modifications basées sur les débats et les études menées jusqu’à présent. Cependant, il n’y a aucune garantie que ces projets de loi seront prioritaires dans la nouvelle session. Leur avenir dépendra des priorités législatives du gouvernement après la prorogation.
Cessons de tergiverser
Malgré les efforts déployés, l’augmentation du budget dédié à la cybersécurité, et les initiatives annoncées, force est de constater que le Canada accuse un retard significatif dans la mise en œuvre d’encadrements robustes pour protéger ses infrastructures critiques. Alors que nos alliés, jusqu’à preuve du contraire, tels que les États-Unis, le Royaume-Uni et l’Australie, ont déjà mis en place des réglementations strictes et des programmes de certification obligatoires, le Canada semble encore hésiter à prendre des mesures décisives.
Les secteurs vitaux comme l’énergie, les transports, la santé, les télécommunications et les services financiers restent potentiellement des proies faciles face aux cyberattaques sophistiquées, comme l’a démontré l’incident Salt Typhoon chez nos voisins américains. L’absence de cadres réglementaires strictes et de normes de sécurité obligatoires laisse ces infrastructures critiques exposées à des risques inacceptables dans un paysage de menaces en constante évolution. C’est une chance que plusieurs institutions privées canadiennes et québécoises prennent le taureau par les cornes et se dotent d’une cyberdéfense de première classe. Malheureusement, ce n’est pas la majorité.
Dans un contexte géopolitique de plus en plus incertain, où les cyberattaques parrainées par des États deviennent monnaie courante, il est impératif que le Canada cesse de tergiverser et assume un rôle de leader en matière de cybersécurité. Le temps des consultations interminables et des projets de loi qui n’aboutissent pas est révolu. Nos citoyens et nos entreprises méritent la certitude que leurs données et leurs systèmes critiques sont protégés par des mesures à la hauteur des menaces actuelles.
Espérons que le prochain gouvernement canadien saura faire preuve d’un leadership fort et décisif en matière de cybersécurité. Le Canada doit agir pour rattraper son retard et assurer la résilience de ses systèmes essentiels face aux cybermenaces du 21e siècle. L’inaction n’est plus une option dans un monde où la sécurité nationale et économique dépend de plus en plus de notre capacité à protéger nos actifs numériques.
