Bonjour! J’aimerais commencer par remercier les membres du Comité pour cette occasion de vous parler aujourd’hui de cybersécurité et de fraude cybernétique. Les auditions du Comité tombent à point, vu qu’octobre est le Mois de la sensibilisation à la cybersécurité. Je m’appelle Andrew Ross. Je suis le directeur des paiements et de la cybersécurité à l’Association des banquiers canadiens (ABC). M’accompagnent aujourd’hui mes collègues : Darren Hannah, Vice‑président, Finances, Risques et Politique prudentielle, et Sandy Stephens, Avocate en chef adjointe.

L’ABC est la voix de plus de 60 banques canadiennes et étrangères qui contribuent à l’essor et à la prospérité économiques du pays. L’Association préconise l’adoption de politiques publiques favorisant le maintien d’un système bancaire solide et dynamique, capable d’aider les Canadiens à atteindre leurs objectifs financiers.

Les banques au Canada sont des chefs de file de la cybersécurité. Elles ont lourdement investi dans les mesures de protection du système financier et des renseignements personnels de leurs clients contre les menaces cybernétiques. Malgré le nombre croissant de tentatives, les banques affichent un excellent bilan en matière de protection de leurs systèmes contre les cybermenaces. En effet, elles prennent au sérieux la confiance que les Canadiens leur accordent pour garder en sécurité leurs dépôts ainsi que leurs renseignements personnels et financiers.

Par ailleurs, les Canadiens s’attendent à plus de simplicité dans l’obtention de services financiers. Les banques ont fait de grands investissements en vue d’assurer à leurs clients des modes d’accès et d’utilisation plus rapides et plus pratiques lorsqu’il s’agit de services bancaires. Les consommateurs peuvent accéder aux services bancaires pratiquement n’importe quand et de n’importe où dans le monde, grâce aux services bancaires en ligne et aux applications bancaires mobiles qui leur donnent un accès en temps réel à leurs renseignements financiers. Aujourd’hui au Canada, 72 % des consommateurs utilisent principalement les services bancaires en ligne et sur leurs appareils mobiles. Une hausse par rapport aux 52 % il y a tout juste 4 ans.

Avec l’augmentation d’opérations bancaires, et autres, effectuées électroniquement, les réseaux et les systèmes deviennent de plus en plus interconnectés. Ainsi, les banques, le gouvernement et d’autres secteurs doivent collaborer pour veiller à ce que le cadre de la cybersécurité au Canada soit solide et capable de s’adapter à l’économie numérique.

Sécurité publique Canada, comme vous le savez bien, a déjà entamé un processus d’examen de la stratégie canadienne en matière de cybersécurité. L’ABC participe activement aux consultations dans le cadre de ce processus. Nous désirons présenter au Comité plusieurs des recommandations que nous avons ainsi soumises au gouvernement.

Organisme fédéral responsable

Pour que le cadre de la cybersécurité au Canada soit efficace, un seul organisme fédéral devra assumer la responsabilité des cybermenaces. Dans le paysage actuel de la cybersécurité, divers ministères et organismes fédéraux supervisent différents secteurs des infrastructures essentielles. Il est possible d’intégrer, dans un seul organisme fédéral, toutes les activités cybernétiques gouvernementales à travers ces secteurs. Ainsi, la résilience cybernétique du Canada sera raffermie grâce au développement de normes communes, à la coordination améliorée du partage des renseignements entre les divers secteurs et avec les forces de l’ordre, et à la présence d’un seul point d’interaction pour que les consommateurs et les entreprises puissent signaler les incidents et les crimes cybernétiques.

Normes uniformes pour les secteurs des infrastructures essentielles

La prestation des services financiers dépend d’autres secteurs, comme les télécommunications et l’électricité. Il faut que les Canadiens soient rassurés du fait que tous les secteurs des infrastructures essentielles les protègent contre les cybermenaces. À cette fin, nous encourageons le gouvernement à établir un ensemble uniforme de normes et de règles qui s’appliquent à tous les secteurs des infrastructures essentielles. Des normes uniformes permettront une supervision plus rigoureuse et rassureront ceux qui utilisent ces services et en dépendent.

Blocage et partage de la communication de données malveillantes

Le secteur des télécommunications est le canal de diffusion des données électroniques. L’identification et le blocage du trafic malveillant, et le partage de ces renseignements avec tous les secteurs d’activité, seront à l’avantage des consommateurs et des entreprises, dont les banques. Une fois qu’une cybermenace est identifiée, autoriser les fournisseurs de services de télécommunications à bloquer le trafic malveillant ainsi repéré contribuera à arrêter la transmission ultérieure de mauvaises données. Le blocage des données malveillantes réduira considérablement le volume des courriels malicieux qui visent les destinataires vulnérables, comme les consommateurs et les petites entreprises. Ce blocage contribuera également à limiter la propagation de virus, de réseaux zombies et d’autres formes de maliciels lancés contre les organisations et les gouvernements. Il nous semble que des changements législatifs sont de mise pour permettre aux fournisseurs de services de télécommunications de bloquer le trafic malveillant de façon proactive. Nous encourageons le gouvernement à examiner les options législatives pour y arriver.

En outre, les banques et autres entreprises canadiennes comptent parmi les clients des sociétés de télécommunications. Donner aux sociétés de télécommunications les moyens de partager les renseignements au sujet des menaces avec les clients adéquats permettra à ces derniers d’améliorer leur résilience cybernétique. L’inverse est également vrai. Le secteur financier a massivement investi dans de grandes capacités de résilience cybernétique afin de pouvoir identifier les données malveillantes sur ses systèmes. Partager ces renseignements avec les sociétés de télécommunications – et les autoriser à bloquer les terminaux malveillants – contribuera à arrêter la propagation du flux à d’autres entreprises et aux consommateurs. Par conséquent, tout changement législatif devra permettre ce partage de renseignements bidirectionnel.

Partage de renseignements pour raffermir la résilience cybernétique

Les bénéfices du partage des renseignements sur les cybermenaces s’étendent à d’autres secteurs que les finances et les télécommunications, au gouvernement et aux forces de l’ordre. Le partage rapide des renseignements au sujet des cybermenaces est un moyen hautement efficace pour minimiser l’impact des cyberattaques. Il est nécessaire de mettre en oeuvre de meilleurs protocoles de communication et une intégration des contrôles afin d’arriver à un partage opportun de renseignements entre le secteur privé et les organismes gouvernementaux. Nous appuyons les initiatives comme l’Échange canadien de menaces cybernétiques, qui encourage l’échange de renseignements sur la cybersécurité et les pratiques exemplaires entre le gouvernement et les entreprises.

Nous encourageons certes un plus grand échange de renseignements, mais nous sommes conscients du fait que la sécurité et la confidentialité vont de pair. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) assure l’équilibre entre les droits à la confidentialité des particuliers et le besoin des organisations de recueillir, d’utiliser et de communiquer les renseignements personnels dans le cadre de leurs activités. Toutefois, de récentes modifications à la LPRPDE entravent la capacité des organisations de communiquer des renseignements personnels en vue de détecter, de prévenir et de neutraliser la cybercriminalité. Les banques appuient pleinement la LPRPDE et s’y conforment. Néanmoins, un mécanisme de partage de renseignements sur les cybercriminels est essentiel pour améliorer la résilience cybernétique du Canada.

Sensibilisation et éducation cybernétiques

Tout comme les initiatives axées sur le rehaussement du niveau de littératie financière, nous recommandons l’élaboration d’un programme national de littératie cybernétique. Vu que les cybercriminels s’attaquent souvent à des citoyens ordinaires, la sensibilisation à la cybersécurité devient essentielle pour réduire le nombre de victimes. Un programme national de littératie cybernétique, destiné à l’éducation et à la protection des consommateurs, contribuera à traiter les menaces actuelles et à venir.

De nos jours, il existe un manque général de personnel dans le domaine de la cybersécurité, d’où l’importance de produire un bassin de talents pour répondre à la demande présente et future. Constituer un bassin de talents au Canada passe, entre autres, par de meilleurs programmes éducatifs pour une carrière en cybersécurité, la formation du personnel actuel, des pratiques avérées de gestion du développement des carrières, ainsi qu’une pollinisation croisée créative avec des disciplines en forte demande et étroitement liées à la cybersécurité. Nous sommes d’avis que le Canada est en mesure de tirer profit de notre excellent système d’éducation et de recycler notre main-d’oeuvre hautement qualifiée afin de combler cette lacune.

Futur cadre législatif en matière de services financiers

Alors que le secteur financier est le terrain d’importants changements provoqués par la technologie, les nouveaux acteurs arrivent à livrer les services financiers de façon numérique, attisant la concurrence. Évidemment, une plus grande concurrence a des effets positifs sur le marché, car elle stimule l’innovation et élargit le choix offert aux consommateurs. Tout au long de ce processus de changement, veiller à la préservation de la sécurité et de la confidentialité des consommateurs, ainsi qu’à la sécurité, à la robustesse et à la stabilité du système financier canadien dans son ensemble, demeure primordial.

La plupart des nouvelles entreprises de technologie financière sont moins réglementées que les institutions financières établies, et nombreuses d’entre elles ne le sont pratiquement pas. Il est donc difficile d’évaluer la résilience cybernétique de ces entreprises. Certaines pourraient certes avoir les mêmes contrôles des risques que les banques. Or, la plupart n’ont pas la même vaste expérience en matière de défense et de protection des données dans l’environnement de menaces numériques en rapide évolution. En outre, le fait que les services financiers soient connectés signifie que ce nombre croissant de participants sur le marché a le potentiel d’être un contaminant cybernétique pour le secteur. Pour cette raison, la résilience cybernétique doit être au centre des considérations des législateurs qui tracent l’avenir du cadre législatif en matière de services financiers.

Conclusion

En conclusion, je souligne de nouveau que la cybersécurité est une priorité pour les banques au Canada. Les banques continuent à collaborer et à investir dans l’objectif de protéger les renseignements personnels et financiers des consommateurs. Également, elles appuient le travail du gouvernement dans la protection des Canadiens tout en encourageant l’innovation et la concurrence. Ceci dit, le secteur bancaire est conscient de l’évolution perpétuelle des menaces et des défis, et désire collaborer davantage avec le gouvernement et avec les autres secteurs. À cette fin, nous encourageons le gouvernement fédéral à mettre au point et à implanter sa nouvelle stratégie en matière de cybersécurité, qui vise à protéger les Canadiens et à améliorer la résilience cybernétique du Canada.

Je vous remercie du temps que vous nous avez accordé et je serai heureux de répondre à vos questions.