À propos du CST et du Centre canadien pour la cybersécurité
À titre d’organisme national de cryptologie du Canada, le Centre de la sécurité des télécommunications (CST) fournit des avis et conseils sur tous les aspects de la cybersécurité aux ministères et organismes du gouvernement du Canada. La mise sur pied du Centre canadien pour la cybersécurité (Centre pour la cybersécurité) du CST en 2018 a permis à l’organisme d’établir des partenariats encore plus forts sur le plan de la sécurité entre le gouvernement et l’industrie, dans le but commun d’élever la barre en matière de cybersécurité dans l’ensemble du secteur des télécommunications du Canada.
Le Centre pour la cybersécurité du CST met à profit sa vaste expérience dans le domaine de la sécurité et collabore avec toute une gamme de partenaires, au pays et à l’étranger, dans le but de continuer de trouver des moyens de renforcer la sécurité des réseaux de télécommunications dont dépend le Canada.
Protéger les infrastructures de télécommunications essentielles du Canada
Le CST et ses partenaires au sein de Sécurité publique Canada (SP), d’Innovation, Sciences et Développement économique Canada (ISDE) et du Comité consultatif canadien pour la sécurité des télécommunications (CCCST) collaborent activement avec les fournisseurs de services de télécommunications (FST) et des fournisseurs d’équipement clés pour aider à assurer la sécurité des infrastructures de télécommunications essentielles du Canada.
En protégeant les réseaux de télécommunications contre les cybermenaces, nous sécurisons l’épine dorsale des infrastructures qui permettent aux Canadiens de communiquer et de mener leurs activités professionnelles et personnelles en ligne. Depuis 2013, le Programme d’examen de la sécurité (PES) du CST a aidé les FST canadiens à atténuer les risques relatifs à la cybersécurité, notamment les risques liés à la chaîne d’approvisionnement découlant de pièces d’équipement et de services désignés, comme ceux de Huawei et de ZTE, dans leurs réseaux 3G, 4G et LTE.
À ce jour, le PES, qui repose sur la collaboration entre le gouvernement et l’industrie, a donné lieu aux résultats suivants :
- la restriction de l’utilisation des produits désignés pour des fonctions sensibles dans les réseaux canadiens;
- la restriction de produits désignés dans les contrats liés aux réseaux du GC;
- la restriction de l’utilisation de services gérés externalisés de fournisseurs désignés dans les réseaux canadiens;
- la réalisation de tests d’assurance, dans des laboratoires tiers accrédités par le CST, visant des produits désignés utilisés pour des fonctions moins sensibles dans les réseaux canadiens;
- la réalisation d’examens annuels de l’architecture dans le but de fournir des avis et conseils techniques sur mesure aux FST, ce qui a accru l’adoption de contrôles et de pratiques exemplaires en matière de cybersécurité d’année en année.
La 5G et l’évolution du Programme d’examen de la sécurité du CST
Les réseaux mobiles constituent un élément de plus en plus essentiel des infrastructures de télécommunications. La 5G sera l’infrastructure sous-jacente dont dépendront les nouvelles applications, les nouveaux services et d’autres infrastructures essentielles.
Compte tenu du volet du mandat du CST touchant la cybersécurité et l’assurance de l’information, le Centre pour la cybersécurité développera le PES pour en faire le Programme évolué d’examen de la sécurité (PeES) dans le but d’aider les FST canadiens à sécuriser les composantes essentielles des réseaux 5G du Canada et l’ensemble du système de télécommunications du pays. La portée du PeES sera élargie pour aider l’industrie à améliorer la cybersécurité et la résilience des réseaux de télécommunications du Canada et à tenir compte des risques liés à tous les fournisseurs clés.
Le Centre pour la cybersécurité continuera de privilégier une approche collaborative qui procure au Canada une base de connaissances et d’expertise à la fois solide et équilibrée de la part du GC et de l’industrie, ce qui permettra aux FST d’atténuer les cybermenaces ainsi que d’établir des réseaux de télécommunications résilients dans l’intérêt de tous les Canadiens et Canadiennes.
PeES : Activités du programme
Le Centre pour la cybersécurité continuera de travailler en partenariat avec les FST pour mettre en œuvre ce programme. La collaboration avec les FST, ainsi qu’un engagement proactif auprès des fournisseurs clés de produits et services, favorise l’adoption d’approches novatrices et adaptables en faveur de la cybersécurité et de la résilience dans le contexte des changements technologiques rapides et des menaces émergentes.
Le PeES continuera de reposer sur les mêmes piliers d’activités que le programme actuel, y compris les restrictions visant les produits et services de confiance faible, les évaluations du déploiement, les examens de l’architecture et la collaboration liée aux contrôles de cybersécurité dans le but de renforcer la résilience des réseaux de télécommunications d’un bout à l’autre du Canada.
Voici quelques-unes des nouvelles activités :
- entrer en contact avec des fournisseurs clés de produits et de services de télécommunications essentiels afin d’établir de nouveaux partenariats axés sur le renforcement de la confiance dans les produits et services déployés dans les infrastructures des FST canadiens;
- élaborer des activités d’assurance ou des stratégies d’atténuation pour les pièces d’équipement de fournisseurs si une évaluation révèle des lacunes sur le plan de la cybersécurité;
- communiquer l’information sur les menaces et des avis et des conseils sur l’atténuation pour appuyer les FST dans l’établissement de réseaux de télécommunications résilients, peu importe les fournisseurs sélectionnés;
- travailler en collaboration avec l’industrie afin de concevoir des contrôles de cybersécurité robustes, peu importe les fournisseurs sélectionnés.
Information additionnelle sur les activités du programme
Évaluations de la confiance envers le fournisseur
Le PES actuel porte sur les risques liés à la chaîne d’approvisionnement que posent uniquement les produits et services de fournisseurs désignés, y compris Huawei et ZTE. Dorénavant, le PeES fera appel à tous les fournisseurs clés sur le marché canadien pour établir de nouveaux partenariats afin de bâtir la confiance dans les produits et services déployés dans les infrastructures de télécommunications du Canada.
Dans le cadre du programme, de nouveaux critères d’évaluation rigoureux s’appliqueront aux fournisseurs pour veiller à ce que les mesures d’atténuation correspondent aux cybermenaces toujours plus complexes dans l’ensemble du secteur. Le programme mettra l’accent sur les fournisseurs dont les produits et services sont utilisés dans les composants les plus essentiels des infrastructures de télécommunications, en commençant par, sans s’y limiter, la sécurisation des composants essentiels des réseaux 5G du Canada, y compris le réseau d’accès radio, le réseau d’amenée et le réseau central pour les services mobiles.
Ces nouvelles évaluations de la confiance envers le fournisseur permettront d’adopter une approche par paliers pour les activités d’assurance en fonction des niveaux de confiance accordés aux fournisseurs. Il s’agira d’alléger les exigences du programme à mesure que la confiance envers le fournisseur augmente. Les tests d’assurance réalisés par des laboratoires tiers seront maintenus pour certains fournisseurs de confiance faible, mais le programme établira également de nouvelles stratégies d’assurance et d’atténuation visant à combler les lacunes en matière de cybersécurité relevées dans l’équipement des fournisseurs.
Examens de l’architecture des FST
Grâce au PES actuel du CST, les évaluations annuelles des architectures de fournisseurs de services de télécommunications canadiens ont permis de constater l’amélioration de l’adoption des pratiques exemplaires en matière de cybersécurité d’année en année. Le PeES poursuivra ces examens annuels de l’architecture pour cerner les lacunes en matière de sécurité et collaborer avec les FST afin d’améliorer la sécurité globale du secteur des télécommunications.
Le PeES continuera de miser sur la collaboration avec les FST canadiens dans le but de proposer des pratiques exemplaires en matière de cybersécurité et des contrôles de sécurité de base pour l’ensemble de leurs réseaux (par exemple, Pratiques exemplaires de sécurité pour les FST canadiens du CCCST), et ce, dans le cas de tout équipement ou service, que des produits de fournisseurs de confiance faible soient présents ou non.
Évaluations du déploiement de produits
Lorsqu’un FST propose l’utilisation, au Canada, d’un nouveau produit ou des mises à niveau ou de nouvelles fonctionnalités pour un produit ou service existant d’un fournisseur de confiance faible, le CST et le Centre pour la cybersécurité procèdent à une évaluation du déploiement de produits qui repose sur leurs connaissances uniques et spécialisées sur le contexte des cybermenaces.
Idéalement, il convient d’effectuer l’évaluation du déploiement avant le processus d’acquisition, ou au début de celui ci. L’évaluation du déploiement permet d’examiner les risques liés à la cybersécurité du produit, le contexte du déploiement et les contrôles proposés par le FST. Les mesures d’atténuation des risques recommandées dans le cadre de l’évaluation visent à faire en sorte que les activités des FST reposent sur un niveau de cybersécurité de base conforme aux normes établies par l’industrie canadienne. L’évaluation recommande également des mesures d’atténuation à plusieurs niveaux afin de compenser les risques liés aux situations dans lesquelles on propose le déploiement d’équipement d’un fournisseur de confiance faible.
Le PeES élargira les évaluations pour tenir compte du déploiement de produits de fournisseurs clés, en mettant l’accent sur les composants les plus importants et sensibles de l’infrastructure de télécommunications. L’évaluation du déploiement permet de cerner les risques et de recommander des mesures d’atténuation pour assurer la résilience du réseau ou du service.
Approche axée sur la cyberrésilience
Pour s’adapter aux changements technologiques dans le secteur des télécommunications, particulièrement dans le cadre de la transition vers la 5G, le PeES ne s’en tiendra pas aux risques liés à la chaîne d’approvisionnement posés par certains fournisseurs. Il élargira sa portée dans le but de tenir compte de la cybersécurité et de la résilience globales de tous les composants essentiels du système de télécommunications du Canada.
Le programme fera la promotion de toute une gamme d’activités qui favoriseront la résilience du secteur des télécommunications. Il permettra de poursuivre les efforts visant à prévenir et à atténuer les risques, à renforcer les mécanismes de collaboration et de gouvernance, à mieux comprendre les risques, et à améliorer les compétences liées à l’état de préparation, à la détection, à l’intervention et à la planification de la reprise. Ces efforts reposeront davantage sur la communication d’information sur les menaces comportant des mesures d’atténuation recommandées, et sur des ateliers conjoints avec l’industrie pour favoriser le développement des capacités.
Recommandations relatives à la sécurité des télécommunications canadiennes
Le PeES créera un catalogue de recommandations relatives à la sécurité des télécommunications canadiennes qui comprendra des architectures de référence en matière de technologie (par exemple, les services 5G non autonomes et les services 5G autonomes), de l’information sur les menaces pour chaque architecture, et des contrôles de cybersécurité recommandés visant à atténuer ces menaces.
Dans le cadre du PeES, on poursuivra les consultations auprès des FST et des groupes de travail sur la protection cybernétique des télécommunications canadiennes (PCTC) du CCCST afin de maintenir la collaboration dans le cadre d’initiatives de sécurité et d’assurer la communication de l’information sur les menaces. Le Centre pour la cybersécurité encouragera également l’adoption de normes internationales qui recommandent des contrôles de cybersécurité robustes permettant de renforcer la confiance dans les systèmes de télécommunications à l’échelle mondiale et la résilience de ces derniers.
Mise en œuvre
Le CST a déjà commencé à collaborer davantage au sein des divers groupes de travail du CCCST pour définir les architectures de référence, les modèles de menace et les mesures d’atténuation. Il s’agira d’exigences de base normalisées à l’échelle de l’industrie qu’il conviendra de communiquer à tous les FST canadiens. Nous continuerons de travailler avec des partenaires à l’échelle mondiale afin de promouvoir l’adoption de normes internationales qui permettront de renforcer la base de référence commune en matière de cybersécurité et d’accroître la confiance dans les systèmes de télécommunications partout dans le monde.
Information additionnelle
- Déclaration du ministre Champagne sur la sécurité des télécommunications
- Énoncé de politique – Sécuriser le système de télécommunications au Canada
- Communiqué de Sécurité publique sur la Loi sur la cybersécurité
- Document d’information d’ISDE sur les modifications apportées à la Loi sur les télécommunications
- Document d’information de Sécurité publique sur les cybersystèmes essentiels
- Stratégie nationale de cybersécurité