Protéger les cybersystèmes essentielles

Le 14 juin 2022, le gouvernement du Canada a déposé le projet de loi C-26, Loi concernant la cybersécurité. Cette loi met en place la Loi sur la protection des cybersystèmes essentiels, établissant ainsi un cadre réglementaire pour renforcer la cybersécurité des services et systèmes vitaux à la sécurité nationale et publique. Elle donne aussi au gouvernement de nouveaux outils pour intervenir aux cybermenaces émergentes. Elle établit aussi un régime réglementaire obligeant les exploitants désignés des secteurs financiers, énergétiques, des télécommunications et du transport à protéger leurs cybersystèmes essentiels. Dans le cadre de ce projet de loi, ces dispositions s’ajoutent aux changements proposés à la Loi sur les télécommunications.

Cette loi remédie aux lacunes de longue date du gouvernement : protéger les services et systèmes vitaux auxquelles les Canadiens et Canadiennes se fient. Ainsi, le gouvernement peut :

• Désigner certains services et systèmes comme étant vitaux à la sécurité nationale et publique et les exploitants (ou classes d’exploitants) qui sont responsables de leur protection;
• Veiller à ce que ces exploitants désignés protègent les cybersystèmes qui sont à la base des infrastructures essentielles du Canada;
• Assurer le signalement des incidents cybernétiques s’ils dépassent le seuil établi;
• Obliger les organisations à passer à l’action pour intervenir aux menaces ou vulnérabilités cybernétiques;
• Poursuivre une approche plurisectorielle à la cybersécurité en raison de l’interdépendance croissante des cybersystèmes.

Nouveaux outils législatifs

La Loi améliore l’échange d’informations liées aux cybermenaces et donne au gouverneur en conseil l’autorité de donner des instructions liées à la cybersécurité. Ces instructions peuvent être donner aux exploitants désignés (ou classe d’exploitants) pour qu’ils puissent se conformer aux mesures établies dans le but de protéger un cybersystème essentiel. Lorsque des instructions sont données, l’exploitant les suivre dans le délai prescrit (p. ex. exploitant A doit prendre les mesures X dans les Y prochains jours).

L’exploitant désigné qui ne se conforme pas aux instructions pourrait se faire imposer une pénalité administrative ou accuser d’une infraction réglementaire, entraînant des amendes ou de l’emprisonnement.

Lorsque le gouverneur en conseil prend une décision, de nombreux facteurs sont pris en compte : la sécurité nationale, les priorités économiques, le commerce, la concurrence, les ententes et les engagements internationaux, entre autres.

Obligations

Cette loi améliorera la collaboration entre le secteur privé et le gouvernement, tout en créant un cadre pour que le gouvernement du Canada puisse agir lorsque des risques à la cybersécurité doivent être contrés. En vertu de la Loi sur la protection des cybersystèmes essentiels, les exploitants désignés devront établir un Programme de cybersécurité qui documente la façon dont ils assureront la protection et la résilience de leurs cybersystèmes essentiels. Ils devront aussi mettre en place des mesures raisonnables pour détecter les incidents cybernétiques et pour minimiser l’impact de ces incidents.

Les exploitants désignés devront aussi faire le suivant :

• Atténuer les risques liées à la chaine d’approvisionnement et les services/produits de tiers;
• Signaler les incidents de cybersécurité au Centre de la sécurité des télécommunications (précisément le Centre canadien pour la cybersécurité);
• Mettre en œuvre les instructions de cybersécurité.

En vertu de la loi, les exploitants désignés seront obligés de signaler au Centre canadien les incidents de cybersécurité qui ont touchés (ou peuvent touchés) leurs cybersystèmes essentielles. Les règlements préciseront cet aspect de la loi.

Secteurs touchés par la Loi

Cette loi s’applique aux exploitants désignés sous réglementation fédérale dans quatre secteurs prioritaires : les finances, l’énergie, les télécommunications et le transport.

L’Annexe 1 de la Loi établit les services et systèmes vitaux dans chaque secteurs. Les voici :

• services de télécommunications;
• systèmes oléoducs et énergétiques interprovinciaux ou internationaux;
• systèmes d’énergie nucléaire;
• systèmes de transport qui relève de l’autorité du Parlement;
• systèmes bancaires;
• système de compensation et de règlement.

Le gouverneur en conseil à l’autorité d’ajouter des services ou des systèmes précis à l’Annexe 1. Ils deviendront ainsi assujettis à la Loi sur la protection des cybersystèmes essentiels.

L’Annexe 2 autorise le gouverneur en conseil d’établir des classes d’exploitants au sein des services indiqués dans l’Annexe 1. Le gouvernement consultera avec les intervenants pour définir la désignation de « classes d’exploitants » en vertu de la loi. Si un exploitant tombe sous un classe d’exploitants, il est considéré comme un exploitant « désigné » et doit donc se conformer à la loi.

En plus des consultations indiquées dans l’Annexe 2, le gouvernement travaillera avec les secteurs touchés sur l’ajout de règlements nécessaires pour la mise en œuvre de la Loi sur la protection des cybersystèmes essentiels, dont le processus pour signaler des incidents cybernétiques.