Dans un rapport publié mardi, le bureau de Karen Hogan décrit des lacunes dans les interventions, la coordination, les mesures d’application de la loi, le suivi et l’analyse au sein des organisations chargées de protéger la population canadienne contre les cybercrimes, et entre ces mêmes organisations. (Photo: La Presse Canadienne)
Ottawa — La vérificatrice générale a constaté que trois agences fédérales clés n’avaient «ni la capacité ni les outils requis» pour appliquer efficacement les lois visant à protéger la population canadienne contre les cyberattaques ou pour lutter contre la quantité croissante de cybercrimes, «qui deviennent de plus en plus sophistiqués».
Dans un rapport publié mardi, le bureau de Karen Hogan décrit des lacunes dans les interventions, la coordination, les mesures d’application de la loi, le suivi et l’analyse au sein des organisations chargées de protéger la population canadienne contre les cybercrimes, et entre ces mêmes organisations.
L’examen de la vérificatrice générale a porté sur la Gendarmerie royale du Canada (GRC), le Centre de la sécurité des télécommunications (CST, l’agence canadienne de cyberespionnage) et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC).
Elle a constaté notamment que les Canadiens qui seraient témoins d’un cybercrime présumé sont parfois laissés à eux-mêmes pour déterminer où faire un signalement — et peuvent même se faire dire de signaler leur incident à une autre organisation.
Par exemple, après avoir pris connaissance d’une offre de vente de matériel d’exploitation sexuelle d’enfants, le CRTC n’a pas confié l’affaire aux forces de l’ordre: il a plutôt demandé au plaignant de contacter lui-même la police.
La vérificatrice affirme également que la GRC a eu du mal à pourvoir les postes au sein de ses équipes d’enquête en cybercriminalité — en janvier dernier, près d’un tiers des postes étaient vacants, lit-on dans le rapport.
En 2022, les victimes de fraude ont déclaré des pertes financières totales de 531 millions $ au Centre antifraude du Canada de la GRC, souligne aussi le rapport. Les trois quarts de ces signalements concernaient la cybercriminalité.
Or, le Centre antifraude estime que seulement 5% à 10% des cybercrimes sont signalés. «Sans intervention rapide, les pertes financières et de renseignements personnels ne feront que croître à mesure que la cybercriminalité et les cyberattaques continueront d’augmenter», rappelle la vérificatrice générale.
Le ministre de la Sécurité publique, Dominic LeBlanc, a salué mardi le rapport et souligné la gravité de la menace. «Au cours de la dernière décennie, notre dépendance à l’égard d’Internet pour gérer nos affaires quotidiennes a évidemment considérablement augmenté, a-t-il déclaré aux journalistes. Cela s’accompagne bien sûr d’un confort accru, mais cela s’accompagne également de risques accrus.»
Toujours pas de guichet unique
Le rapport indique aussi que la lutte efficace contre la cybercriminalité dépend de la transmission des signalements aux organisations les mieux placées pour les réceptionner. Or, même si la GRC, le CST et le ministère de la Sécurité publique ont réfléchi à un guichet unique permettant aux Canadiens de signaler un cas de cybercriminalité, «un tel guichet n’a pas encore été mis en place», souligne le rapport.
Entre 2021 et 2023, le CST a estimé que près de la moitié des 10 850 signalements reçus ne relevaient pas de son mandat «puisqu’ils visaient des particuliers et non des organisations canadiennes», relate Mme Hogan. Mais le CST n’a «pas répondu à bon nombre de ces particuliers pour leur dire de signaler l’incident à une autre organisation».
Le rapport signale par contre que la GRC et le CST ont souvent bien coordonné leurs réponses à des cas «hautement prioritaires», tels que des attaques contre des systèmes gouvernementaux ou des infrastructures essentielles.
De plus, la GRC, par l’intermédiaire de son Centre national de coordination en cybercriminalité, a établi des partenariats entre les forces de l’ordre canadiennes et internationales pour comprendre les besoins de ses organismes et assurer la coordination des efforts. «Toutefois, elle n’avait pas toujours acheminé aux services policiers nationaux les demandes d’information qu’elle recevait de partenaires internationaux.»
La vérificatrice générale a également constaté qu’une mauvaise gestion des cas avait limité la capacité de la GRC à répondre aux incidents de cybercriminalité. Elle souligne aussi une absence de procédures et de normes de service pour gérer les avis aux victimes par la suite.
Le CRTC, de son côté, avait pris «peu de mesures» pour protéger les Canadiens contre les menaces en ligne, indique le rapport. Dans un cas, le CRTC a supprimé des preuves et restitué des appareils électroniques «de manière accélérée» à une personne qui faisait l’objet d’une enquête pour violation de la loi antipourriel, afin d’éviter de se voir signifier un mandat de perquisition par l’organisme d’application de la loi.
De plus, la Stratégie nationale de cybersécurité élaborée par Sécurité publique Canada «comportait de graves lacunes», notamment l’absence du CRTC à titre d’acteur clé, «malgré le mandat de cet organisme consistant à faire appliquer la Loi canadienne antipourriel, qui est directement liée à la cybercriminalité», note la vérificatrice générale.
La vérificatrice générale recommande aussi:
– que les agences travaillent ensemble pour garantir que les cybercrimes signalés par les Canadiens soient acheminés vers l’organisation ayant le mandat de s’en occuper ;
– que le Centre national de coordination en cybercriminalité de la GRC établisse des procédures permettant d’identifier les notifications aux victimes les plus urgentes et de garantir qu’elles soient envoyées en premier ;
– que ce centre de coordination veille à ce que toutes les demandes d’assistance reçues des partenaires nationaux et internationaux soient entièrement documentées et complétées afin que toutes les informations nécessaires soient fournies dans le cadre de la réponse ;
– que le CRTC s’assure que les rôles et responsabilités des personnes chargées de l’application de la loi sont conformes aux exigences de la loi.
Dans le rapport, les agences ont précisé les mesures qu’elles avaient prises pour donner suite aux recommandations de la vérificatrice générale.
Le ministre LeBlanc a également souligné que son gouvernement lancera «dans les prochains mois» la nouvelle Stratégie nationale de cybersécurité du Canada, qui «définira une approche renforcée et globale» pour protéger les intérêts économiques et les infrastructures critiques du Canada.
Jim Bronskill
Inscrivez-vous gratuitement aux infolettres de Les Affaires et suivez l’actualité économique et financière au Québec et à l’international, directement livrée dans votre boîte courriel.
Avec nos trois infolettres quotidiennes, envoyées le matin, le midi et le soir, restez au fait des soubresauts de la Bourse, des nouvelles du jour et retrouvez les billets d’opinion de nos experts invités qui soulèvent les défis qui préoccupent la communauté des affaires.