fbpx

Textes d'opinion

Cybersécurité – Quand Ottawa veut jouer au gérant d’estrade

Imaginez un arbitre qui, lors d’un match du Canadien, va voir un joueur pour lui expliquer comment envoyer la rondelle au filet. Il risquerait fort de perdre son emploi : ça ne fait pas partie de ses tâches ni de son champ de compétences.

C’est pourtant ce qu’Ottawa tente de faire avec le projet de loi C-26 dans le domaine de la sécurité numérique. Au lieu de s’occuper de ses affaires, le gouvernement souhaite s’incruster dans la mise en place des plans de sécurité numérique des entreprises.

Concrètement, si ce projet de loi est adopté, les entreprises devront remplir de nouveaux formulaires pour présenter leurs plans de sécurité numérique et les soumettre à l’organisme réglementaire approprié.

Les fonctionnaires fédéraux passeront ensuite le plan au peigne fin pour, s’ils en sont satisfaits, le tamponner en guise d’approbation afin qu’il puisse être mis en œuvre. Pour chaque changement, aussi mineur soit-il, l’entreprise devra refaire la paperasse et attendre une réponse du gouvernement.

C’est l’ajout de cette nouvelle étape bureaucratique qui pose problème.

En sécurité numérique, les choses bougent à vitesse grand V. lorsqu’une entreprise trouve une faille dans son système, elle sait pertinemment qu’elle a tout intérêt à la réparer rapidement, sans quoi elle s’expose à des risques juridiques, réputationnels et financiers importants – demandez-le à Desjardins.

Bien que plusieurs qualificatifs puissent décrire le gouvernement fédéral, « rapide » et « efficace » n’en font généralement pas partie. Parlez-en à ceux et celles qui ont fait refaire leur passeport ces derniers temps.

Malheureusement, lorsque le gouvernement exige d’être averti des changements de programme et d’autres nouvelles mesures des entreprises, il ajoute un délai entre la prise de décision et l’implantation. Plus concrètement, cela étire le délai entre le moment où une brèche est trouvée et celui où elle est colmatée.

Et le risque demeure important. Les entreprises touchées sont tant les institutions financières que les fournisseurs de services cellulaires ou les opérateurs de pipelines.

L’action gouvernementale pourrait peut-être se justifier si les entreprises canadiennes ne se préoccupaient pas de la sécurité informatique. Les données nous indiquent que ça ne cadre pas avec la réalité.

Dans le secteur bancaire, 93 % des gestionnaires considèrent le risque en cybersécurité comme un facteur clé dans leur prise de décision(1), et les stratégies qu’ils emploient pour amenuiser ce risque sont aussi diverses qu’innovantes.

Par exemple, certaines entreprises emploient ce qu’on appelle des « hackers éthiques » pour tester la sécurité de leurs systèmes, trouver leurs failles et ainsi pouvoir les colmater avant qu’un individu malintentionné ne puisse les exploiter.

Les dépenses – et leur évolution – confirment d’ailleurs que les entreprises ne se contentent pas de parler, mais passent à l’action.

Pour l’année 2021 seulement, les entreprises canadiennes ont dépensé près de 10 milliards de dollars en prévention et en détection d’incidents de cybersécurité(2).

Il est donc clair que les entreprises réalisent l’importance de la sécurité numérique et sont prêtes à faire ce qu’il faut pour l’assurer, sans même qu’Ottawa ajoute une petite armée de fonctionnaires dans l’équation.

On ne dit pas que le gouvernement fédéral n’a aucun rôle à jouer dans la sécurité numérique, mais s’immiscer dans les décisions rapides que doivent prendre nos entreprises risque d’être contre-productif et d’enlever des ressources dans d’autres domaines où leur expertise est plus utile.

On peut penser à l’interdiction de services pouvant entraver la sécurité nationale, comme ceux de Huawei, ou encore aux enjeux numériques en lien avec des acteurs étatiques étrangers.

Vous ne verrez pas un arbitre dicter aux joueurs comment marquer un but. De la même façon, Ottawa doit apprendre à se mêler de ses affaires. Nos entreprises savent déjà comment faire leur travail.

Célia Pinto Moreira est analyste en politiques publiques à l’IEDM et l’auteure de « Projet de loi C-26: les risques d’une microgestion de la cybersécurité ». Elle signe ce texte à titre personnel.

Notes

1. Lisez « Canadian Banks Collaborate to Combat Cyber Risks » (en anglais)

2. Consultez le site de Statistique Canada

Consultez le projet de loi C-26

Lisez « Canadian banks hire ‘ethical hackers’ to improve and test cybersecurity » (en anglais)

Lisez « Huawei enfin exclu de la 5G »

Back to top