Le gouvernement fédéral s’arroge le droit de dicter aux entreprises de télécommunications n’importe quelle mesure essentielle à la sécurité nationale, selon un projet de loi déposé mardi qui rend possible l’interdiction annoncée de Huawei et ZTE au Canada.

Ottawa prévoit aussi obliger les entreprises des secteurs de la finance, de l’énergie, des transports et des télécommunications de l’informer de toutes les attaques informatiques qu’elles subissent. Ces compagnies sous juridiction fédérale devront en plus se doter d’un plan de cybersécurité.

« L’infrastructure de télécommunication, c’est l’un des secteurs les plus importants, voire le plus important de l’économie de demain. [Il faut] protéger cette infrastructure-là face aux attaques de sécurité pour assurer la résilience », a expliqué le ministre fédéral de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne, en marge du dévoilement du projet de loi C-26.

Le gouvernement canadien s’est rendu compte au fil des rapports d’experts qu’il ne disposait d’aucune loi lui permettant de forcer des entreprises de télécommunications à corriger les failles qui les rendent vulnérables aux attaques de pirates informatiques ou d’États hostiles, comme de faire affaire avec un fournisseur « à haut risque ».

La première action qu’il entreprendra après l’entrée en vigueur de cette nouvelle loi est de bannir Huawei et ZTE du développement des réseaux 5G canadiens, tel qu’annoncé le mois dernier après deux ans et demi de tergiversations.

Les entreprises de télécommunication, comme les fournisseurs de téléphonie cellulaire ou d’Internet par exemple, s’exposent à jusqu’à 10 millions de dollars d’amende si elles se voient tentées de braver un décret fédéral sur la sécurité nationale. Ce montant peut grimper à 15 millions de dollars pour chaque récidive.

Réduire l’autorégulation

Les menaces de piratages informatiques ont pris une place croissante au Canada dans le « monde connecté post-COVID », ont expliqué aux médias de hauts responsables de la sécurité publique fédérale. Ottawa a recensé 304 incidents de cybersécurité l’an dernier, un nombre considéré comme « sous-estimé », puisque les entreprises n’ont pas pour l’instant l’obligation de les déclarer.

Près de la moitié de ces incidents toucherait des infrastructures essentielles à la sécurité nationale du pays. Les fonctionnaires précisent bien que les attaques ne proviennent pas nécessairement des autres pays, mais peuvent aussi provenir de groupes criminels motivés par des gains financiers, comme en cas de rançongiciel.

« Le gouvernement a longtemps laissé l’industrie s’autoréguler, explique Jean-Christophe Boucher, professeur adjoint à l’école politique publique à l’Université de Calgary. Ce qu’on a découvert, c’est que ça ne marche pas. »

Même des compagnies qui gèrent des infrastructures essentielles au Canada comme les pipelines ou des réseaux électriques n’investissent pas assez dans la cybersécurité et ne divulguent pas nécessairement les attaques dont elles sont victimes, dit-il. « Il est largement le temps que le gouvernement adopte des lois qui vont améliorer la cybersécurité. »

Le constat est partagé par Nicolas Pellerin-Roy, chercheur associé à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand de l’UQAM.

« En ce moment les entreprises sont autonomes de la manière dont ils gèrent et réagissent à la cybersécurité. La plupart des entreprises touchées ont probablement déjà des plans de cybersécurité. [Mais] souvent leurs dirigeants ne comprennent pas l’urgence ou l’importance d’avoir une bonne protection. Là ils vont être obligés de prendre ça au sérieux », croit-il.

Portée de la loi à définir

Le gouvernement entend consulter les régulateurs des quatre secteurs « essentiels à la sécurité nationale » visés par le projet de loi pour déterminer plus précisément à quelles entreprises incomberont les nouvelles obligations.

« L’approche est de continuer l’autorégulation [des entreprises de ces secteurs], mais de l’utiliser en partenariat [avec le gouvernement], selon les obligations du projet de loi », a expliqué le ministre de la Sécurité publique, Marco Mendicino, le parrain du projet de loi C-26.

Même si les entreprises visées vont devoir indiquer au gouvernement quand elles sont victimes d’une attaque informatique, leurs clients ou le grand public ne seront pas pour autant avisés. Cela constituerait l’équilibre entre les impératifs de transparence et de sécurité nationale, selon le ministre Mendicino.

Le ministre souhaite que son texte serve d’inspiration aux provinces et aux municipalités pour qu’elles se dotent elles aussi d’un mécanisme de partage d’information avec les entreprises sous leur juridiction. C-26 n’a aucune chance d’être adopté avant la pause estivale de la Chambre des communes, prévue pour le 23 juin. Il sera étudié au retour des députés à Ottawa, l’automne prochain.