Note pour la période des questions : Cybersécurité et infrastructures essentielles

• Les cyberactivités malveillantes visant les systèmes numériques qui soutiennent les infrastructures et les services essentiels sont une source de préoccupation constante pour les entreprises, les particuliers et tous les ordres de gouvernement au Canada.

• À mesure que le Canada développe son économie propre de demain, nous nous appuierons de plus en plus sur des systèmes résilients pour protéger les Canadiens, les entreprises canadiennes, les infrastructures essentielles et notre démocratie.
• Ces changements s’accompagnent de cyber risques qui évoluent rapidement.
• Les menaces qui pèsent sur le paysage numérique, y compris la cybercriminalité, émergent de manière dynamique, et nous savons que les acteurs malveillants – qu’ils soient motivés par des considérations financières ou étatiques – sont de plus en plus nombreux et sophistiqués, menaçant ainsi notre sécurité nationale et économique.
• Le gouvernement du Canada s’est engagé à lutter contre ces menaces graves et perturbatrices qui peuvent avoir de profondes conséquences sur les Canadiens.
• À la suite de consultations approfondies avec les Canadiens, nous avons publié une nouvelle Stratégie nationale de cybersécurité en février 2025. La nouvelle Stratégie repose essentiellement sur la mobilisation et la collaboration.
• Il s’agit également d’une approche flexible en matière de solutions de cybersécurité. Ces mesures seront mises en place à l’aide de plans d’action spécifiques qui soutiendront la vision et les objectifs de la nouvelle Stratégie.

• Dans le cadre de la Stratégie, nous mettrons en œuvre un programme de subventions et de contributions pour financer des projets de cybersécurité partout au Canada qui contribueront à notre prospérité numérique collective. Nous créons également un forum de dialogue avec les principaux intervenants afin de garantir une approche pan sociétal pour renforcer notre résilience aux cybermenaces.
• Sécurité publique Canada et les organismes de son Portefeuille soutiennent les infrastructures essentielles dans dix secteurs essentiels grâce à des outils d’autoévaluation et à des conseils.
• Nous coordonnons également l’intervention du gouvernement fédéral aux incidents de cybersécurité à l’aide du Plan fédéral de réponse aux cyber incidents, qui fournit un cadre fiable pour la coordination et l’échange de renseignements entre les ministères et les organismes gouvernementaux lors de la gestion d'incidents cybernétiques d’importance affectant des systèmes ne relevant pas du gouvernement du Canada.
• Le Service canadien du renseignement de sécurité collabore étroitement avec les Canadiens, l’industrie et les universités pour accroître la sensibilisation et la résilience face aux cybermenaces, notamment en diffusant des renseignements à l’aide de nouveaux pouvoirs afin de mettre les Canadiens en garde contre les possibles cyber vulnérabilités et de les aider à adopter des pratiques de sécurité robustes.
• Grâce à ce travail permanent, nous continuons de prendre des mesures énergiques pour protéger et défendre tous les citoyens du Canada contre les cybermenaces.

Contexte de la menace

• L’Évaluation des cybermenaces nationales 2025 2026 désigne les rançongiciels comme la principale menace cybercriminelle pesant sur les infrastructures essentielles du Canada, en mettant davantage l’accent sur les acteurs étatiques et parrainés par l'État que dans l’évaluation précédente. Elle cite la Chine, la Russie, l’Iran, la Corée du Nord et notamment l’Inde, qui n’était pas mentionnée dans l’Évaluation 2023 2024.
• Le rapport souligne que l’Inde utilisera probablement son programme cybernétique à des fins de sécurité nationale, d’espionnage, de lutte contre le terrorisme et de renforcement de son statut mondial. L’Inde utilise probablement des fournisseurs commerciaux pour améliorer ses opérations cybernétiques.
• Le rapport mentionne également que la Chine fait actuellement peser la menace à la cybersécurité la plus complète pour le Canada. Ses opérations visent notamment à obtenir des gains politiques et commerciaux, à mener de l’espionnage, à voler de la propriété intellectuelle et à mener une répression transnationale. Des politiciens canadiens ont été ciblés, dans tous les ordres de gouvernement.

Réponse du gouvernement du Canada

• Le gouvernement du Canada est chargé de répondre aux cybermenaces et aux menaces pour la sécurité nationale, en plus de défendre ses systèmes essentiels. Les interventions fédérales consistent à informer les victimes potentielles de la cyberactivité et à aider les professionnels de la sécurité à adopter les pratiques exemplaires pour minimiser les répercussions sur les opérations essentielles.
• Dans sa nouvelle Stratégie nationale de cybersécurité, le gouvernement du Canada adopte une approche globale et souple envers les cybermenaces afin de promouvoir des politiques de cybersécurité adaptables.
• Après l’annonce de la nouvelle Stratégie, en février 2025, Sécurité publique Canada a obtenu des fonds pour mettre en place les initiatives phares de cette dernière : le Collectif canadien pour la cyberdéfense, qui officialisera la collaboration et l’échange d’information entre tous les ordres de gouvernement, les organisations autochtones, l’industrie privée et le milieu universitaire; la prochaine version du Programme de coopération en matière de cybersécurité, qui est l’initiative en matière de subventions et de contributions de SP dans le domaine de la cybernétique.
• Sécurité publique Canada (SP) soutient les propriétaires et les exploitants d’infrastructures essentielles, qui englobent dix secteurs essentiels au bien être des Canadiens : l’énergie et les services publics, les finances, l’alimentation, le transport, le gouvernement, les technologies de l’information et de la communication, la santé, l’eau, la sécurité et le secteur manufacturier. Par exemple, Sécurité publique Canada, en collaboration avec le Centre pour la cybersécurité, a développé l’Outil canadien de cybersécurité pour l’autoévaluation.
• Sécurité publique Canada copréside également le Plan fédéral de réponse aux cyberincidents afin de coordonner les réponses aux cyberincidents affectant les systèmes qui ne relèvent pas du gouvernement du Canada, ce qui permet d’améliorer la connaissance de la situation et d’éclairer la prise de décision lors d’événements cybernétiques d’importance.

Si l’on insiste
Q1 – Question sur le nouveau dépôt de l’ancien projet de loi C-26, Loi concernant la cybersécurité
• La Loi concernant la cybersécurité (anciennement présentée comme le projet de loi C 26) était un projet de loi comportant deux initiatives législatives distinctes visant à protéger les infrastructures essentielles sous réglementation fédérale contre les cybermenaces.
• La Partie 1 proposait de modifier la Loi sur les télécommunications pour ajouter la sécurité en tant qu’objectif stratégique et conférer des pouvoirs de prise de décrets au ministre de l’Industrie et au gouverneur en conseil, tandis que la Partie 2 aurait mené au dépôt de la Loi sur la protection des cybersystèmes essentiels dans le but d’établir un cadre réglementaire visant à renforcer la cybersécurité de base dans les secteurs des infrastructures essentielles sous réglementation fédérale.
• La loi proposée, qui a été approuvée à la quasi unanimité par la Chambre et le Sénat, avait atteint les dernières étapes du processus parlementaire avant de mourir au Feuilleton en raison de la prorogation, dans l’attente de l’approbation par la Chambre des communes d’une modification administrative apportée par le Sénat.
• En adoptant une législation établissant un cadre de cybersécurité pour les principales entités sous réglementation fédérale, et en centralisant le signalement de la cybercriminalité et des incidents cybernétiques, le Canada renforcera considérablement la cybersécurité des infrastructures essentielles sous réglementation fédérale dont dépendent les Canadiens, ce qui aura des répercussions sur notre sécurité nationale et économique, en plus de nous permettre de s’assurer que les criminels sont tenus responsables.
• Fait important, elle garantirait également que le Canada évite de prendre encore plus de retard sur ses alliés aux vues semblables qui ont connu les mêmes pressions pour déposer et réviser des mesures législatives relatives à la cybersécurité.

Q2 – Question sur la détection et le signalement de la cybercriminalité
• Le gouvernement travaille de concert avec des intervenants pour qu’il soit plus facile pour la population et les entreprises de signaler la cybercriminalité, pour faire en sorte que les crimes soient signalés et que les mesures appropriées soient prises.
• Le Centre national de coordination en cybercriminalité de la Gendarmerie royale du Canada (GRC) et le Centre antifraude du Canada sont tous les deux responsables du signalement, à l’échelle nationale, de la cybercriminalité et de la fraude, par les victimes (particuliers et organisations) ayant un lien avec le Canada.
• Ces deux centres élaborent un nouveau Système national de signalement des incidents de cybercriminalité et de fraude afin d’améliorer et de simplifier le signalement de la cybercriminalité et de la fraude, d’accroître leurs capacités techniques et d’appuyer les organismes d’application de la loi du Canada lors de la prise de mesures à la suite d’un signalement fait par une victime de cybercriminalité ou de fraude.
• En améliorant et en centralisant le signalement, la GRC peut davantage consolider et analyser l’information, en plus d’améliorer son échange avec les organismes d’application de la loi et les partenaires de sécurité pour appuyer la prévention, la réduction des conflits et les efforts d’enquête.
• Toute personne qui a été victime de cybercriminalité, de fraude ou d’une arnaque doit communiquer avec le service de police local et signaler la situation au Centre antifraude du Canada.

Q3 – Question sur des incidents particuliers
• Nous sommes au courant de l’incident {Insérer le type d’incident, la ville, la province} et nous suivons la situation de près.
• Des représentants de la cybercommunauté fédérale se réunissent régulièrement pour discuter des incidents potentiels et en cours afin de coordonner l’intervention fédérale. À cette fin, le Plan fédéral de réponse aux cyberincidents, pour les incidents touchant les systèmes qui ne relèvent pas du gouvernement du Canada, et le Plan de gestion des événements de cybersécurité du gouvernement du Canada, pour les incidents touchant les systèmes relevant du gouvernement du Canada, sont portés à l'échelon supérieur, au besoin, selon la gravité de l’incident.
• Le Centre des opérations du gouvernement s’efforce de déterminer le type d’aide fédérale dont pourraient avoir besoin les provinces, les territoires et les fournisseurs d’infrastructures essentielles pour faire face à la situation.
• Les premiers intervenants et les fonctionnaires provinciaux sont chargés de répondre aux besoins immédiats des citoyens dans les zones touchées.
• La situation évoluant rapidement, il serait inapproprié de notre part d’émettre d’autres commentaires en ce moment.

Q4 – Question sur l’importance de tenir les criminels responsables
• Le Programme de cybercriminalité de la Police fédérale de la GRC enquête sur les plus hauts niveaux de cybercriminalité et de menaces cybernétiques pour la sécurité nationale. Cela inclut la cybercriminalité visant les institutions du gouvernement, les infrastructures essentielles qui revêtent une importance nationale ainsi que les principales institutions et les principaux actifs commerciaux du Canada. La GRC est investie d’un large mandat visant à lutter contre la cybercriminalité au Canada et à l’étranger, et elle adopte diverses mesures d’application de la loi pour permettre de procéder à des arrestations, de déposer des accusations et de provoquer d’autres perturbations (par exemple, mesures permettant de neutraliser la menace, de minimiser la victimisation et de tenir les auteurs de cybercriminalité responsables, dans la mesure du possible).