Article
Bonjour! Je tiens à remercier le Comité pour l’invitation à exposer notre point de vue au sujet de la Partie 2 du projet de loi C‑26, loi édictant la Loi sur la protection des cybersystèmes essentiels (la Loi).
Je m’appelle Angelina Mason. Je suis l’avocate en chef et vice‑présidente principale, Affaires juridiques et Risques de l’Association des banquiers canadiens (ABC). Se joint à moi aujourd’hui mon collègue Charles Docherty, avocat en chef adjoint et vice‑président, Affaires juridiques et Risques, à l’ABC.
L’Association des banquiers canadiens est la voix de plus de 60 banques canadiennes et étrangères qui contribuent à l’essor et à la prospérité économiques du pays. L’ABC préconise l’adoption de politiques publiques favorisant le maintien d’un système bancaire solide et dynamique, capable d’aider les Canadiennes et les Canadiens à atteindre leurs objectifs financiers.
Chefs de file de la cybersécurité, les banques au Canada investissent massivement dans la protection du système financier et des données personnelles de leurs clients contre les cybermenaces. Le secteur bancaire est hautement réglementé et doit répondre aux exigences strictes du Bureau du surintendant des institutions financières quant à la gestion des cyberrisques, des risques liés à la chaîne d’approvisionnement et aux tierces parties, ainsi qu’à l’obligation de signalement des incidents.
La sécurité des secteurs qui représentent les infrastructures essentielles du Canada doit être assurée afin de protéger la sécurité et le bien‑être économique de la population. Dans sa prestation de services financiers aux Canadiennes et aux Canadiens, le secteur bancaire compte sur d’autres secteurs névralgiques qui représentent des infrastructures essentielles, comme les télécommunications et l’énergie. Nous avons encouragé le gouvernement à utiliser et à promouvoir des normes de cybersécurité sectorielles communes qui s’appliqueraient aux entités formant ces secteurs névralgiques et soutenons ses efforts à s’y prendre en vertu de la Loi. Également, conscients du fait que certaines infrastructures essentielles, comme l’énergie, relèvent de divers niveaux de gouvernement, nous avons recommandé au gouvernement fédéral de collaborer avec les provinces et les territoires à la définition d’un cadre de cybersécurité applicable à l’ensemble des secteurs des infrastructures essentielles.
Des normes de cybersécurité cohérentes et bien définies permettront une meilleure supervision et donneront l’assurance que les systèmes restent efficaces et bien protégés. La protection contre les menaces parrainées par des États et d’autres acteurs néfastes nécessite une démarche coordonnée entre le gouvernement et le secteur privé. Le gouvernement peut donc jouer un rôle central à cette fin, en rapprochant les partenaires qui représentent des infrastructures essentielles et les autres intervenants, et en mettant à profit tous les efforts en cours pour contrer les cybermenaces.
Nous reconnaissons, certes, l’importance de la Loi. Toutefois, nous devons agir sciemment. Certaines dispositions proposées dans la Loi doivent être mieux adaptées aux risques opérationnels et aux autres préoccupations connexes. Par exemple :
- Pouvoir utiliser les exigences strictes actuelles dans certains secteurs, comme le secteur bancaire, en vue d’éviter la duplication et l’incohérence des exigences.
- Prévoir des mesures de protection des renseignements confidentiels plus importantes.
- Modifier les seuils et l’intervalle de temps propres au signalement des incidents de cybersécurité.
De plus, des mesures de protection adéquates doivent être prévues dans le contexte de l'invocation des pouvoirs très étendus du gouvernement en vertu de la Loi. Conformément à d’autres textes législatifs, la Loi doit comprendre des dispositions d’exonération qui accordent aux exploitants désignés une immunité contre les poursuites civiles et pénales lorsque, de bonne foi, ils se conforment aux exigences de signalement prévues par la Loi et aux directives en matière de cybersécurité.
Au‑delà de l’obligation de communiquer les renseignements, la Loi devrait favoriser un partage volontaire plus large des incidents, des renseignements sur les cybermenaces et de l’expertise en matière de cybersécurité, avec le Centre de la sécurité des télécommunications (CST) et entre les catégories d’exploitants désignés. Ce partage doit être assorti de dispositions d’exonération afin de ne pas créer de risques additionnels. Le partage efficace de ce type de renseignements est une composante essentielle de la cyberrésilience et doit être encouragé par la Loi. Finalement, nous pensons qu’il est nécessaire de permettre au CST et au SCRS de communiquer les renseignements pertinents aux exploitants désignés de cybersystèmes essentiels au Canada dans l’objectif de les aider à prévenir et à atténuer l’impact des incidents de cybersécurité.
Nous communiquerons au Comité, par écrit, de plus amples détails sur nos recommandations. Nous tenons à collaborer avec le gouvernement et avec les autres secteurs pour veiller à ce que le Canada demeure sûr, solide et sécuritaire.
Nous vous invitons, avec plaisir, à poser vos questions.