Un projet de loi obligerait le signalement des cyberattaques
La Presse Canadienne|Publié le 14 juin 2022Les attaques contre des entreprises, des universités et même des hôpitaux par des cybercriminels qui détiennent des données en otage en échange d’une rançon sont devenues extrêmement courantes. (Photo: La Presse Canadienne)
Ottawa — Les entreprises et autres organisations du secteur privé seraient tenues de signaler les incidents de rançongiciel et autres cyberattaques au gouvernement en vertu d’un projet de loi fédéral qui sera déposé mardi.
La législation vise à étoffer les efforts du gouvernement libéral pour protéger les infrastructures essentielles à la suite de l’annonce du mois dernier que les fournisseurs chinois Huawei Technologies et ZTE seront bannis des réseaux mobiles de prochaine génération du Canada.
À ce moment, le ministre de la Sécurité publique, Marco Mendicino, avait déclaré que les libéraux déposeraient un projet de loi qui ira plus loin en prenant des mesures supplémentaires pour protéger les infrastructures dans les secteurs des télécommunications, de la finance, de l’énergie et des transports.
Il a déclaré que cela établirait un cadre pour mieux protéger les systèmes vitaux pour la sécurité nationale et donnerait au gouvernement un nouvel outil pour répondre aux dangers émergents dans le cyberespace.
Les attaques contre des entreprises, des universités et même des hôpitaux par des cybercriminels qui détiennent des données en otage en échange d’une rançon sont devenues extrêmement courantes.
Certaines organisations ciblées ont préféré payer les frais exigés pour tenter de faire disparaître le problème en douceur, ce qui nuit aux responsables qui souhaitent avoir une image complète du phénomène.
Le ministre Mendicino a signalé, lors d’une récente réunion d’un comité de la Chambre des communes, que le gouvernement envisageait de rendre obligatoire le signalement de telles attaques.
Les mesures prévues comprennent également des modifications à la Loi sur les télécommunications qui permettraient au gouvernement d’interdire l’utilisation d’équipements et de services de fournisseurs désignés au besoin.
La politique fédérale décrite en mai interdit l’utilisation des nouveaux équipements 5G et des services de Huawei et ZTE. Il faudra également retirer leur équipement 5G existant et mettre fin aux services qu’ils gèrent au plus tard le 28 juin 2024.
Toute utilisation des nouveaux équipements 4G et des services des deux sociétés sera également interdite, les équipements existants et les services qu’ils gèrent devant être retirés d’ici le 31 décembre 2027.
Le gouvernement prévoit d’autres mesures qui créeraient un cadre global de sécurité des télécommunications, conformément à l’approche adoptée par les alliés et les partenaires.
L’année dernière, le Royaume-Uni a adopté une législation imposant des exigences plus strictes aux fournisseurs de télécommunications pour défendre leurs réseaux contre les menaces pouvant entraîner une panne ou le vol de données importantes.
En mars, le Royaume-Uni a ouvert une consultation publique sur un projet de réglementation décrivant les mesures spécifiques que les fournisseurs devraient prendre pour remplir leurs obligations légales, ainsi qu’un projet de code de pratique sur le respect de la réglementation.
Le gouvernement canadien prévoit augmenter ses mesures législatives en s’appuyant sur le programme d’examen de la sécurité existant, dirigé par le Centre de la sécurité des télécommunications ― le service d’espionnage électronique ― en partenariat avec les fournisseurs de services de télécommunications canadiens.
Le programme est conçu pour exclure l’équipement spécifié des zones sensibles des réseaux canadiens et assurer l’essai obligatoire de l’équipement avant qu’il ne soit utilisé dans des systèmes moins vulnérables.
Le gouvernement a l’intention d’étendre le programme pour tenir compte des risques de tous les principaux fournisseurs et d’appliquer ses efforts plus largement pour aider l’industrie à améliorer la cybersécurité.