une main qui tient une guitare

Perspectives

Un rapport du CST fait état des cybermenaces qui pèsent sur le secteur énergétique canadien

Conformément au Cadre de la cybersécurité de la Commission de l’énergie de l’Ontario (voir notre analyse du cadre) [en anglais seulement], les compagnies d’électricité sont tenues de remplir un profil de risque inhérent et un questionnaire d’autoévaluation connexe.

Or, il peut s’avérer difficile de se tenir au fait des nouveautés en matière de cybersécurité.

Nous ferons le point ci-après sur deux menaces que le Centre de la sécurité des télécommunications (CST) a récemment révélées dans son rapport sur l’évaluation des cybermenaces nationales, ainsi que sur d’autres publications et développements à ce sujet.

Le rapport du CST

Le CST est l’agence canadienne chargée de la collecte et de l’analyse du renseignement d’origine électromagnétique. Le 18 novembre, il a publié son deuxième rapport sur l’évaluation des cybermenaces nationales, qui expose les attentes générales concernant les cybermenaces au Canada au cours des deux prochaines années.

Le rapport du CST est particulièrement intéressant, car il est de nature prospective et est publié par une organisation bien placée pour faire des prévisions en matière de cybermenaces. Le CST cite exclusivement des sources d’information publiques, mais, comme il l’indique clairement, les jugements qu’il formule se basent tant sur des sources d’information librement accessibles que sur des sources d’information classifiée.

Le CST fait le point sur deux cybermenaces qui pèsent sur le secteur énergétique canadien, à savoir :

Les rançongiciels

Le CST estime que les infrastructures essentielles constituent la cible de prédilection des auteurs de cybermenaces qui recourent au rançonnement. Ainsi, comme l’indique le rapport : « On considère que les activités malveillantes dirigées contre le Canada continueront probablement à cibler les grandes entreprises et les fournisseurs d’infrastructures essentielles au cours des deux prochaines années ». Le rapport mentionne également qu’il est probable que les systèmes de contrôle industriel mal segmentés seront davantage ciblés au cours des deux prochaines années, car les auteurs de cybermenaces tentent « d’accroître la pression sur les infrastructures essentielles et ainsi inciter les victimes de l’industrie à consentir rapidement au paiement de la rançon demandée ».

La collecte de renseignements dirigée par des États

Même si le CST indique clairement qu’il ne prévoit pas d’attaques d’États visant la technologie opérationnelle en l’absence de conflit international, il juge néanmoins que ces attaques constituent les menaces les plus pressantes à la sécurité physique des Canadiens. Le CST songe plus particulièrement à la technologie opérationnelle utilisée pour contrôler « l’ouverture de barrage, le fonctionnement d’une chaudière, la transmission d’électricité et l’exploitation des pipelines ». De plus, même si les risques pour la sécurité physique sont faibles à l’heure actuelle, le CST pose le constat suivant : « Néanmoins, les auteurs de cybermenace pourraient cibler des entreprises canadiennes essentielles dans l’objectif de recueillir des données, de se prépositionner en vue d’activités ultérieures, ou de les intimider ».

Autres publications et développements récents

Des organismes de réglementation étrangers ont récemment publié trois rapports sur des incidents majeurs ayant compromis la cybersécurité.

Fait à noter également, le 4 novembre, la société Coveware, spécialisée dans la récupération de rançons, a publié son quarterly ransomware report [rapport trimestriel sur le rançonnement] [en anglais seulement]. Ce rapport constate que les rançonneurs ont de moins en moins tendance à tenir leur promesse de supprimer les données volées. Ainsi, en 2020, il n’est pas rare que des rançonneurs conservent les données et menacent de les publier sur le Web en vue d’obtenir une rançon. À en croire le rapport de Coveware, le paiement de la rançon demandée devient une option nettement moins attrayante.

Le cadre réglementaire est également sur le point de faire l’objet de changements majeurs. Le gouvernement fédéral a présenté le projet de loi C-11, qui remplacera la LPRPDE par une nouvelle loi appelée Loi sur la protection de la vie privée des consommateurs et, en particulier, instaurera un nouveau régime d’application stricte. L’incidence la plus importante se fera sentir sur les entreprises de distribution locales. Consultez notre analyse exhaustive du projet de loi C-11 pour en savoir plus à ce sujet.

Points à retenir

Certains de nos clients connaissent déjà les cybermenaces dont il est question dans le rapport du CST. Mais les autres clients devraient tenir compte des observations de l’organisme et adapter leurs processus en conséquence. Le projet de loi C-11 insiste sur l’urgence de se préparer à faire face à des cyberincidents de toutes sortes. Nos clients devraient considérer leurs politiques d’intervention en cas d’incident comme des documents évolutifs, qui doivent faire l’objet de vérifications et de rajustements constants.

Nous serions heureux de vous apporter notre aide sur ces enjeux. Si vous avez des questions, n’hésitez pas à communiquer avec votre avocat de BLG ou l’une des personnes-ressources ci-dessous.

Principaux contacts

  • Daniel  J.  Michaluk

    Daniel J. Michaluk

    Coresponsable national, Respect de la vie privée et cybersécurité

    Toronto
    DMichaluk@blg.com
    416.367.6097

    Daniel Michaluk

    Coresponsable national, Respect de la vie privée et cybersécurité

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Protection de la vie privée et atteintes à la sécurité
    • Différends en matière de cybersécurité
    • Éducation
    • Gouvernement et secteur public

    • Voir la biographie
    Voir la biographie
  • John  A.D. Vellone

    John A.D. Vellone

    Associé et Chef des affaires, Énergie, Ressources et énergie renouvelable

    Toronto
    JVellone@blg.com
    416.367.6730

    John Vellone

    Associé et Chef des affaires, Énergie, Ressources et énergie renouvelable

    Services
    • Droit des sociétés et droit commercial
    • Énergie – Électricité
    • Énergie – Réglementation de l’électricité
    • Infrastructures publiques
    • Équipe du Nord®

    • Voir la biographie
    Voir la biographie
  • Bradley Freedman

    Bradley Freedman

    Avocat-conseil principal

    Vancouver
    BFreedman@blg.com
    604.640.4129

    Bradley Freedman

    Avocat-conseil principal

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Technologies de l’information
    • Propriété intellectuelle
    • Technologies
    • Litige en matière de propriété intellectuelle

    • Voir la biographie
    Voir la biographie