Menaces pour la cybersécurité et surveillance gouvernementale au Canada

Vue d'ensemble de la cybersécurité

Dans son dernier rapport Évaluation de la menaceLe Centre canadien de cybersécurité a averti que la tendance à connecter des systèmes importants à l'Internet augmente les menaces pour la cybersécurité des personnes et des organisations canadiennes. Le rapport souligne notamment que les ransomwares et la perturbation des infrastructures canadiennes essentielles sont les principales menaces qui pèsent sur le paysage cybernétique du Canada. Malgré cela, les gouvernements fédéral et provinciaux n'ont eu que peu ou pas de compétence sur les processus de cybersécurité des entreprises privées et même des organisations du secteur public qui ne font pas officiellement partie du gouvernement. Cette situation commence à changer.

Depuis 2015, au moins 14 cyberattaques majeures ont visé les systèmes d'information de santé canadiens.Le Canada se classe au 10e rang mondial en ce qui concerne le nombre d'infractions., avec plus de 207,4 millions de comptes compromis depuis 2004. Le Centre canadien de cybersécurité a mis en garde dans un rapport d'août 2023 que, au cours des deux prochaines années, les infrastructures essentielles du Canada continueront d'être la cible des cybercriminels. Les organismes de santé sont particulièrement vulnérables à ce type de ciblage en raison de leur dépendance à l'égard de systèmes obsolètes.

Un incident récent et important est les cinq hôpitaux du sud-ouest de l'Ontario touchés par une attaque de ransomware en octobre 2023. Ces attaques ont visé l'organisation de services partagés TransForm, qui gère les systèmes technologiques des cinq hôpitaux. Les attaques ont perturbé des technologies vitales telles que l'imagerie diagnostique et les traitements curatifs par radiation. En conséquence, d'innombrables tomographies, mammographies et interventions chirurgicales ont dû être reprogrammées, avec des retards pouvant aller jusqu'à six semaines. Un autre cas de ce genre est celui de l Août 2023 : cyber-attaque sur le secteur de la santé en Colombie-Britannique. Les pirates ont pu accéder à un serveur hébergeant les sites et les formulaires de candidature de Health Match BC, du BC Care Aide and Community Health Worker Registry et des programmes Locums for Rural BC. De même, un 2022 cyber-attaque contre l'hôpital Sick Kids de Toronto a mis hors ligne la plupart des systèmes prioritaires de l'établissement et a affecté ses opérations.

Dans tous ces cas, les réseaux de cybersécurité des organisations concernées ont été fournis et contrôlés par des sociétés de sécurité informatique indépendantes. Le gouvernement n'a pas joué un rôle central ou direct, que ce soit dans la réaction immédiate ou dans les changements à long terme. C'est le cas notamment de l'attaque la plus récente contre London Drugs.

Le directeur général de London Drugs déclare l'entreprise reconstruit son infrastructure de données avec l'aide d'experts tiers de premier plan afin de remettre ses opérations en ligne en toute sécurité. Dans le même ordre d'idées, dans un communiqué de presse publié lundiAprès la découverte de la faille, la société a affirmé qu'elle travaillait avec des experts indépendants en cybersécurité pour remettre ses systèmes en service. Le gouvernement provincial et London Drugs n'ont donné aucune indication quant à l'implication ou la supervision du gouvernement dans l'effort de réponse.

De manière générale, le Centre canadien pour la cybersécurité publie des documents d'orientation avec des propositions de mesures de cybersécurité pour diverses entreprises, mais la loi fédérale ne peut en aucun cas les obliger à faire des suggestions. Même en ce qui concerne les fournisseurs de services essentiels et les opérateurs d'infrastructures critiques.

Jusqu'à présent, il semble que la cyberattaque contre London Drugs n'ait pas exercé de nouvelles pressions sur le gouvernement provincial pour qu'il adopte une législation qui imposerait des mesures de cybersécurité plus strictes aux fournisseurs de services essentiels. Cela pourrait s'expliquer par le fait que de telles mesures juridiques sont déjà en cours d'élaboration, et que certaines ont déjà été adoptées à la suite d'atteintes à la cybersécurité.

Le premier d'entre eux est Projet de loi 22Ce projet de loi exige que tous les organismes publics notifient une "atteinte à la vie privée" au Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique (OIPC). Ce projet de loi oblige également les organismes publics à mettre en œuvre un programme de gestion de la vie privée (PMP). Les organismes publics sont définis comme les ministères du gouvernement provincial, les conseils scolaires, les autorités sanitaires, les sociétés d'État et les municipalités, et les atteintes à la vie privée comprennent le vol, la perte ou la collecte non autorisée de renseignements personnels sous la garde ou le contrôle d'un organisme public. Pour être conforme à ce projet de loi, un PMP doit répondre à un ensemble d'exigences, dont certaines incluent une procédure de réponse aux plaintes et aux violations de la vie privée, ainsi qu'une procédure de contrôle et de mise à jour régulière du PMP. Bien que cette législation ne couvre pas les entreprises privées, elle constitue néanmoins une étape importante vers une plus grande implication du gouvernement dans les processus de cybersécurité en Colombie-Britannique.

Un autre exemple est celui de l'Ontario Projet de loi 194La Commission européenne a adopté le projet de loi sur la cybersécurité, qui établit notamment des règles imposant certaines exigences en matière de cybersécurité à divers organismes du secteur public, dont les hôpitaux, les conseils scolaires et les établissements d'enseignement postsecondaire. Parmi les exigences imposées, citons les rapports sur les instances de cybersécurité, les responsables de programmes et les calendriers de rapports sur les progrès accomplis en matière de maturité. Le projet de loi 194 reflète le projet de loi 22 de la Colombie-Britannique dans la mesure où il permet à la province de renforcer la surveillance gouvernementale des processus de cybersécurité dans les secteurs publics essentiels. Il a été adopté en première lecture et doit être examiné en deuxième lecture par le parlement de l'Ontario.

Plus important encore est le le projet de loi C-26, qui a quitté le comité et se trouve en troisième lecture à la Chambre des communes. Cette législation donnerait à Ottawa le pouvoir de diriger la façon dont les opérateurs d'infrastructures critiques se préparent et répondent aux cyber-attaques. La législation proposée couvre les télécommunications, les pipelines, l'énergie nucléaire, les transports et les banques sous réglementation fédérale, mais pas les organismes de santé. Si elle est adoptée, cette loi permettra au gouvernement d'accéder aux informations confidentielles des entreprises concernées au nom du renforcement de la cybersécurité nationale. Bien que ce projet de loi soit fédéral et n'inclue pas les organismes de santé, il est le premier du genre et pourrait servir de modèle à une législation provinciale plus spécifique visant les organismes de santé par la suite. Ce projet de loi mérite donc qu'on s'y intéresse, car il préfigure ce qui pourrait arriver. 

En conclusion...

Alors que de plus en plus de secteurs critiques de l'économie, de l'infrastructure et du service public canadiens sont en ligne, nous allons probablement assister à une augmentation des cyberattaques perturbatrices de la part de groupes criminels et d'acteurs soutenus par l'État. Il reste à voir si cette tendance incitera le gouvernement à réglementer davantage les processus et les normes de cybersécurité au Canada, et nous pouvons nous attendre à ce que cette tendance législative se poursuive dans les années à venir.

Restez à jour avec les nouvelles tendances

Ce site web utilise des cookies pour vous garantir la meilleure expérience possible lors de votre visite.

Logo CHG.