Comité
Consultez le guide de l'usager
Pour obtenir de l’aide, contactez-nous
Consultez le guide de l'usager
Pour obtenir de l’aide, contactez-nous
Ajouter un critère de recherche
Résultats : 1 - 60 de 7238
Voir le profil de David Lametti
Lib. (QC)
Merci, monsieur le président.
Je vais faire une allocution, ensuite la très honorable Kim Campbell prendra la parole, puis je prendrai de nouveau la parole. Par la suite, nous répondrons ensemble à vos questions.
Monsieur le président, madame la très honorable Kim Campbell, messieurs et mesdames les membres du Comité et autres parlementaires dans la salle, bonjour. Je remarque également la présence de l'honorable Irwin Cotler, que je remercie d'être ici.
Avant tout, nous reconnaissons que nous sommes sur des terres traditionnelles non cédées des Algonquins. C'est très important de souligner ce fait aujourd'hui.
Je tiens à remercier le président d'avoir convoqué cette réunion extraordinaire du Comité. Je remercie également tous les députés de leur présence aujourd'hui. Je reconnais évidemment que plusieurs d'entre eux ont modifié leurs plans estivaux pour être des nôtres. Je leur en suis très reconnaissant.
Comme le président vient de le souligner, c'est la troisième fois que notre gouvernement met en œuvre son processus réformé de nomination des juges de la Cour suprême du Canada.
Les modifications que nous avons apportées en 2016 visent à rendre le processus de nomination plus ouvert et plus transparent, et à resserrer les obligations redditionnelles en la matière. Bon nombre d'entre vous ici aujourd'hui sont des participants chevronnés, puisque vous avez pris part aux processus de 2016 et de 2017 qui ont abouti à la nomination des juges Rowe et Martin, respectivement. C'est d'ailleurs Mme Campbell qui a présidé aux délibérations de ces comités.
Comme vous pouvez l'imaginer, j'ai suivi le déroulement de ces processus avec beaucoup d'intérêt et d'attention. C'est maintenant pour moi un grand honneur et un véritable privilège de participer au processus de façon plus directe afin de pourvoir le poste qui deviendra vacant le 15 septembre 2019, à la suite du départ à la retraite du juge Clément Gascon.
Je profite de l'occasion pour remercier de nouveau le juge Gascon de sa contribution et pour souligner le courage dont il a fait preuve tout au long de sa carrière.
J'ai le bonheur de comparaître aujourd'hui avec la très honorable Kim Campbell, qui se joint à nous par vidéoconférence depuis Vancouver. Auparavant, Mme Campbell a été présidente du Comité consultatif indépendant sur la nomination des juges de la Cour suprême du Canada. Mme Campbell a également présidé le comité consultatif actuel qui a été adapté pour assurer la nomination d'un juge rompu à l'exercice de la justice au Québec et à la tradition juridique de cette province. La vaste expérience de Mme Campbell à l'égard du processus de sélection a fourni une aide inestimable. Nous saluons le grand dévouement dont elle fait montre pour ce qui est de servir les Canadiens dans ce rôle et nous la remercions.
Dans quelques instants, je céderai la parole à Mme Campbell pour qu'elle décrive le travail précis auquel le comité consultatif s'est attelé afin de produire la liste restreinte des candidats présentée au premier ministre. Toutefois, avant cela, j'aimerais décrire brièvement les aspects particuliers qui caractérisent le processus actuel de pourvoi de ce siège du Québec au sein du tribunal.
Selon la Loi sur la Cour suprême, trois sièges de la Cour sont réservés à des juristes du Québec. Au titre des articles 5 et 6 de la Loi, il est seulement possible de nommer des personnes qui sont juges de la Cour d’appel ou de la Cour supérieure du Québec, ou qui sont membres en règle du Barreau du Québec depuis au moins 10 ans.
Comme l’a précisé la Cour suprême du Canada dans le Renvoi relatif à la Loi sur la Cour suprême, art. 5 et 6, ces critères de nomination visent à faire en sorte que les traditions juridiques propres au Québec soient bien représentées à la Cour. Ces critères permettent non seulement de veiller à ce que la Cour soit en mesure de traiter les affaires de droit civil, mais aussi d’assurer sa légitimité aux yeux de la population québécoise.
C’est pourquoi les qualifications et les critères d’évaluation stipulent qu’« une connaissance approfondie de la tradition de droit civil est essentielle pour tout candidat à l’un des trois postes du Québec ».
Par ailleurs, le 15 mai 2019, le premier ministre a annoncé un protocole d’entente entre notre gouvernement et celui du Québec. Ce protocole d’entente établit la marche à suivre en vue de pourvoir le poste qui deviendra vacant à la suite du départ à la retraite du juge Gascon. Comme pour le processus applicable aux sièges qui n’appartiennent pas au Québec, ce processus repose avant tout sur le travail du comité consultatif indépendant et impartial qui est chargé d’évaluer les candidatures et de dresser une liste restreinte de trois à cinq noms à recommander au premier ministre.
La composition du Comité consultatif a été ajustée de façon à refléter fidèlement la réalité du Québec, ses pratiques juridiques et sa tradition de droit civil.
Comme mentionné, le Comité consultatif a été présidé par Mme Campbell et comptait un autre membre que, en tant que ministre fédéral de la Justice, j'avais été chargé de nommer. Les six autres membres ont été sélectionnés de façon à assurer une représentativité adéquate au regard du Québec et du droit civil. Ces six autres membres ont été désignés par la ministre de la Justice du Québec, le Barreau du Québec, la Division du Québec de l’Association du Barreau canadien, le Conseil canadien de la magistrature et les doyens des facultés de droit du Québec et de la Section de droit civil de la Faculté de droit de l’Université d’Ottawa.
Tous bilingues sur le plan fonctionnel, les membres retenus étaient des personnes émérites ayant assumé leurs importantes responsabilités avec beaucoup de soin et de dévouement. Au nom du premier ministre et de notre gouvernement, je tiens à les remercier pour les services exceptionnels qu'ils ont rendus tout au long de ce processus.
Ils ont fait un meilleur travail que ceux qui s'occupent des lumières aujourd'hui.
Des voix: Oh, oh!
L'hon. David Lametti: Le mandat principal du comité consultatif était d'évaluer les candidats en fonction des critères d'évaluation convenus et de soumettre au premier ministre les noms de trois à cinq candidats qualifiés et fonctionnellement bilingues.
Conformément à l’entente conclue avec le gouvernement du Québec, après avoir reçu la liste restreinte fournie par le Comité consultatif, je l’ai transmise à la ministre de la Justice du Québec. Nous avons ensuite mené, chacun de notre côté, des consultations confidentielles au sujet des candidatures présélectionnées.
Pour ma part, j'ai consulté notamment le juge en chef du Canada, un certain nombre de mes collègues du Cabinet, les porte-parole de l’opposition en matière de justice ainsi que des membres de votre comité et du Comité sénatorial permanent des affaires juridiques et constitutionnelles. La ministre de la Justice du Québec a mené ses propres consultations, notamment auprès de la juge en chef du Québec, avant de faire part de ses résultats au premier ministre du Québec. Après la conclusion de cette période de consultation, le premier ministre du Québec et moi-même avons soumis nos recommandations respectives au premier ministre du Canada pour éclairer son choix quant à la personne à nommer.
Avant de céder la parole à Mme Campbell, j'aimerais parler brièvement de l'importance de la confidentialité dans ce processus, étant donné les préoccupations qui ont été soulevées à juste titre au sujet des divulgations inappropriées entourant le processus de sélection de 2017.
Comme je l'ai déjà dit, la divulgation de renseignements confidentiels concernant des candidats à des nominations judiciaires est inacceptable. Je tiens à souligner que j'ai pris des mesures strictes pour assurer le respect de la confidentialité. Des mesures de confidentialité strictes ont été prévues tout au long du processus. Le mandat du comité consultatif contient des dispositions visant expressément à assurer le respect de la vie privée de tous les candidats. Cela comprend l'obligation pour les membres du comité consultatif de signer une entente de confidentialité avant leur nomination. De plus, l'entente avec le Québec stipule explicitement que la communication de la liste restreinte et les consultations sur celle-ci doivent se faire de façon confidentielle.
Pour ce qui est des prochaines étapes du processus, outre la contribution essentielle du comité consultatif à l'élaboration de la liste restreinte, disons que l'audience d'aujourd'hui est un élément important. C'est l'occasion pour vous tous, en tant que parlementaires, d'entendre et de questionner le gouvernement au sujet du processus de sélection et de notre choix de candidat. Les parlementaires et les Canadiens en général auront l'occasion de se familiariser avec le candidat lors de la séance de questions prévue pour cet après-midi.
Ayant fourni ce contexte, j'aimerais maintenant demander à Mme Campbell de décrire le travail que le comité consultatif a fait pour s'acquitter de son mandat. Je dirai ensuite quelques mots au sujet du candidat retenu par le premier ministre pour siéger à la Cour suprême du Canada, l'honorable Nicholas Kasirer.
Madame Campbell, nous vous écoutons.
Voir le profil de Lisa Raitt
PCC (ON)
Voir le profil de Lisa Raitt
2019-07-25 11:34
Louis Lebel, le juge à la retraite de la Cour suprême du Canada qui a siégé à votre comité cette fois-ci, a commenté la fuite qui s'est produite lors du dernier processus. Il a dit que c'était très grave parce que le processus est quelque chose de très délicat.
A-t-il parlé des préoccupations suscitées quant à la confidentialité au cours du processus?
Kim Campbell
Voir le profil de Kim Campbell
La très hon. Kim Campbell
2019-07-25 11:34
Pas de façon particulière, parce que nous étions de toute évidence si déterminés à préserver cette confidentialité et si prudents à cet égard.
Voir le profil de Lisa Raitt
PCC (ON)
Voir le profil de Lisa Raitt
2019-07-25 11:34
Avez-vous pris des mesures pour vous assurer qu'il n'y avait pas de bris de confidentialité de la part de votre comité? Je sais que vous avez dit qu'il n'y en avait pas, mais je me demandais si vous aviez appelé quelqu'un. Avez-vous parlé au ministre? Avez-vous parlé au Bureau du Conseil privé?
Kim Campbell
Voir le profil de Kim Campbell
La très hon. Kim Campbell
2019-07-25 11:34
Je ne crois pas que cela était nécessaire. Nous avons travaillé avec le commissaire à la magistrature fédérale. Nous avons compulsé nos documents sur des tablettes sécurisées qui faisaient l'objet d'un contrôle très soigné. Nous laissions toujours nos documents dans la salle de réunion et l'engagement clair... Nous avons signé un engagement de confidentialité, de sorte que le processus était bien établi. Je tiens simplement à répéter qu'il n'y a jamais eu d'indication de fuite de la part d'un membre de notre comité.
Kim Campbell
Voir le profil de Kim Campbell
La très hon. Kim Campbell
2019-07-25 11:35
Au contraire, nous marchions en quelque sorte sur la pointe des pieds et nous étions souvent craintifs, même entre nous. Quand nous dînions ensemble, nous allions dans un endroit où les gens n'auraient pas pu savoir qui nous étions et ce que nous faisions.
Voir le profil de Lisa Raitt
PCC (ON)
Voir le profil de Lisa Raitt
2019-07-25 11:35
J'imagine que c'est quelque chose que vous devez avoir de la difficulté à faire, madame Campbell.
La raison pour laquelle je pose la question, c'est que, bien sûr, nous sommes préoccupés par la fuite et par la façon dont elle s'est produite. C'est quelque chose qui préoccupe aussi le commissaire à la protection de la vie privée, et il est en train d'enquêter là-dessus. Ses fonctionnaires ne peuvent pas interroger les gens du cabinet du ministre ou du Cabinet du premier ministre.
Je me demande s'il a eu une conversation avec vous pour comprendre ce qu'il en était de la confidentialité au sein du comité consultatif.
Kim Campbell
Voir le profil de Kim Campbell
La très hon. Kim Campbell
2019-07-25 11:35
Eh bien, non, puisqu'on n'a jamais laissé entendre que cette confidentialité avait été violée.
Je suis ravie — c'est bien sûr une bonne chose que votre comité se préoccupe de cela —, mais compte tenu de la nature de la fuite, il est très clair qu'elle ne provenait pas du processus de notre comité.
Voir le profil de John McKay
Lib. (ON)
Mesdames et messieurs, nous nous efforçons de respecter notre horaire. Nous attendons l’arrivée de nos autres témoins, mais, dans l’intervalle, nous allons entendre le témoignage du représentant de la GRC, le capitaine Mark Flynn.
Vous ferez votre exposé et, si les représentants du Centre de la sécurité des télécommunications viennent, nous prendrons des dispositions afin qu'ils s'expriment eux aussi.
Soit dit en passant, la séance est maintenant publique.
En ce qui concerne les personnes qui témoignent devant nous, le véritable problème, c’est que les membres du Comité souhaitent poser des questions. Par conséquent, il est préférable de limiter la durée des exposés.
Et maintenant, je vous prie de faire votre exposé, surintendant Flynn.
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:29
Vous serez heureux d’apprendre que je ne ferai pas de déclaration préliminaire, et je crois comprendre que le Comité en a été informé. Je suis ici aujourd’hui simplement pour répondre à toutes les questions que vous pourriez avoir. Comme cet enjeu est, à première vue, lié à une enquête criminelle en cours, il serait toutefois inapproprié que je vous communique des détails relatifs à une enquête, en particulier une enquête qui n’est pas menée par la GRC.
Je suis disposé à répondre à toutes les questions. Je suis ici pour vous apporter toute l'aide que je suis autorisé à vous offrir.
Voir le profil de David de Burgh Graham
Lib. (QC)
Il est un peu plus difficile de poser des questions sans s’appuyer sur une déclaration préliminaire.
Ma première question est la suivante: si quelqu’un appelle la GRC pour déposer une plainte concernant un vol de données présumé, comment la GRC traite-t-elle cette plainte dès sa réception?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:30
Cela dépend de l’endroit où le vol présumé a eu lieu. Sur le territoire où nous nous trouvons, ces cas relèvent des services de police. Par conséquent, les services de police provinciaux et municipaux se partagent la responsabilité. La plainte serait transférée à notre processus de réception là-bas, que ce soit notre bureau des télécommunications, la réception du détachement ou une unité d’enquête particulière qui a été désignée à cet effet.
Dans les cas où nous ne sommes pas les policiers compétents, comme en Ontario et au Québec, où nous assumons le rôle d’agents de police fédéraux, nous prenons conscience de ces situations en collaborant avec nos partenaires provinciaux et municipaux. Nous examinons l’information, et nous déterminons si la situation est liée à d’autres enquêtes en cours. De plus, nous offrons aux services de police compétents notre appui s’ils en ont besoin, bien que, dans bon nombre de cas, ces types d’incidents soient très bien gérés. Nos forces de police provinciales et municipales sont fort compétentes et sont en mesure de gérer ces incidents par elles-mêmes.
Voir le profil de David de Burgh Graham
Lib. (QC)
À quel moment un incident devient-il de compétence fédérale? Si un problème relève des provinces, mais touche plusieurs provinces, les services de police provinciaux doivent-ils le gérer séparément? La GRC est-elle en mesure d’intervenir à ce moment-là?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:31
La GRC n'intervient pas automatiquement uniquement parce qu'un problème touche plusieurs provinces. Comme avec les crimes traditionnels, qu'il s'agisse d'un réseau de voleurs qui exerce ses activités près de la frontière entre deux provinces ou d'homicides, les corps policiers de ces administrations ont l'habitude de collaborer et ils le font très efficacement.
Lorsqu'un cyberincident survient, s'il aura des répercussions sur un système du gouvernement du Canada ou un exploitant d'infrastructures essentielles, que des facteurs liés à la sécurité nationale doivent être pris en compte ou que l'incident est lié à un groupe important de criminels qui opère à l'échelle nationale et qui fait déjà parti des enjeux prioritaires sur lesquels nous enquêtons, nous donnerons suite à cet incident.
Dans le domaine du cyberespace, nous entretenons des relations et communiquons régulièrement avec la plupart des provinces et des municipalités dotées de cybercapacités dans leurs secteurs d'enquête. Nous savons que bon nombre de ces incidents surviennent dans plusieurs administrations, que ce soit au pays ou à l'étranger. Par conséquent, la coordination et la collaboration sont vraiment importantes.
C'est pourquoi l'Unité nationale de coordination de la lutte contre la cybercriminalité agira comme le service de police national qui contribuera à cette collaboration. Toutefois, avant sa mise en œuvre, l'une des responsabilités de mon équipe au quartier général est de communiquer régulièrement, que ce soit en tenant régulièrement des conférences téléphoniques ou des rencontres officielles au cours desquelles nous discutons de ce qui se passe dans les diverses administrations pour assurer la collaboration et la déconfliction. De plus, de façon ponctuelle, lorsqu'un incident important survient, les employés des nombreux corps policiers communiquent entre eux par téléphone pour déterminer l'intervention appropriée et s'assurer qu'elle n'est pas réalisée en double.
Voir le profil de David de Burgh Graham
Lib. (QC)
Dans le cas de l'incident dont il est question aujourd'hui, qui est, de toute évidence, un incident majeur, la GRC est-elle tenue au courant de ce qui se passe même s'il ne s'agit pas de son enquête?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:33
Je tiens à éviter de parler de cette enquête, mais je peux vous dire que les enquêtes de ce genre feront assurément l'objet de discussions. Ces discussions ont lieu en raison des rencontres régulières que nous tenons, que ce soit au sujet des cybercrimes ou d'autres types de crimes qui sont commis dans les différentes administrations. Il est évident qu'un incident de cette ampleur fera l'objet de discussions.
Pour l'instant, je n'ai pris part à aucune de ces discussions. Je ne sais pas s'il y en a.
Voir le profil de Francis Drouin
Lib. (ON)
Merci, monsieur le président.
Monsieur Flynn, merci d'être venu. Je sais que vous ne ferez pas de commentaires sur l'enquête en cours, mais, en tant que député qui représente beaucoup de membres qui ont été touchés — je l'ai moi-même été —, je m'intéresse surtout aux répercussions possibles de la fraude.
Je sais que beaucoup de Canadiens reçoivent des appels frauduleux de gens qui se font passer pour des agents de l'Agence du revenu du Canada. J'ai moi-même rappelé une personne qui prétendait travailler pour la GRC. Elle voulait obtenir de l'argent pour une personne en particulier. Elle était très exigeante et insistante. Elle m'a donné un numéro où je pouvais rappeler, que j'ai transmis à la police. Est-ce quelque chose que vous conseillez aux Canadiens de faire où, de toute évidence, la GRC ou le service de police local est le premier point de contact?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:35
Absolument. En fait, le Centre antifraude du Canada dispose d'un programme à cet effet et il entretient une relation étroite avec les fournisseurs de services de télécommunications, qui ont beaucoup aidé à résoudre certains des problèmes entourant le télémarketing et les fraudes massives commises au téléphone. Lorsque nous découvrons et que nous validons les numéros utilisés pour commettre des fraudes, l'industrie des télécommunications bloque ces numéros pour réduire la victimisation. Nous avons adapté certaines de nos pratiques pour faire en sorte que cela se produise beaucoup plus rapidement qu'autrefois.
Voir le profil de Francis Drouin
Lib. (ON)
Selon votre expérience et ce qu'on a appris des cas de fraude, nous savons que certains fraudeurs ont peut-être mon numéro d'assurance sociale. Ils ont peut-être mon adresse de courriel ainsi que mon adresse municipale. Ils pourraient prétendre de façon très convaincante être un représentant du gouvernement ou d'une quelconque institution financière. À votre avis, quel est le meilleur moyen pour que les Canadiens se protègent?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:36
Dans toutes les campagnes de fraude massive, que ce soit un cas comme celui-ci ou en général, les gens doivent faire preuve d'un grand scepticisme et prendre des mesures pour se protéger. Le gouvernement du Canada offre de nombreuses ressources, comme le Centre antifraude du Canada et Pensez cybersécurité, qui fournissent une liste de conseils pour les Canadiens. Essentiellement, il faut protéger ses renseignements et émettre des doutes raisonnables quand quelqu'un nous appelle. Si une banque nous appelle, il faut composer le numéro de la succursale locale. Il ne faut pas répondre au numéro qu'on a fourni ni rappeler immédiatement à ce numéro. Il faut passer par des sources fiables pour valider les questions qu'on pose.
J'ai déjà reçu des appels semblables au vôtre. J'ai reçu un appel très convaincant de ma propre banque. J'ai communiqué avec cette dernière, qui m'a indiqué que l'appel était frauduleux. C'était intéressant parce que, au bout du compte, l'appel était réel, mais nous nous sommes tous sentis très en sécurité parce que nous avions pris les mesures appropriées. Je préfère risquer de ne pas obtenir un service plutôt que de compromettre mon identité ou mes renseignements financiers.
Voir le profil de Pierre Paul-Hus
PCC (QC)
Merci, monsieur le président.
Merci, monsieur Flynn. Je reviendrai à vous dans quelques instants.
Le chef du Parti conservateur du Canada, Andrew Scheer, m'a demandé d'appeler nos collègues afin d'organiser cette réunion, et j'aimerais lire quelques paragraphes d'une lettre ouverte qu'il a envoyée aux médias le 12 juillet:
Comme la grande majorité des Québécois et de tous les Canadiens, je suis préoccupé par la sécurité des technologies de l'information, le vol d'identité et la protection des renseignements et informations personnels.
La situation est très sérieuse et je comprends l'inquiétude et l'angoisse des victimes qui craignent les effets futurs de tels vols d'information personnelles, incluant les numéros d'assurance sociale, et qui doivent y consacrer temps et énergie pour y remédier.
Il est rassurant de voir que les dirigeants du Mouvement Desjardins prennent la situation au sérieux en déployant beaucoup d'énergie à protéger et rassurer leurs membres. Le gouvernement fédéral a également la responsabilité et le devoir de soutenir toutes les victimes affectés par les vols d'identités, en travaillant avec tous les acteurs du secteur pour tirer des leçons et améliorer la sécurité informatique.
[...] Je veux dire aux victimes de vol d'informations, ainsi qu'à tous les Canadiens, de notre solidarité et de la volonté d'un futur gouvernement conservateur de s'attaquer aux défis de la protection des renseignements et données personnelles des Canadiens.
Voir le profil de Pierre Paul-Hus
PCC (QC)
Nous tenons à démontrer l'importance que nous accordons à ce dossier. C'est pourquoi il est important pour nous d'être ici en cette belle journée ensoleillée du 15 juillet 2019.
Monsieur Flynn, vous avez répondu à mes collègues libéraux, mais je trouve un peu faible la réponse de la GRC concernant une telle situation. Je m'explique. Il y a 2,9 millions de Canadiens, dont 2,5 millions de Québécois et quelque 300 000 Canadiens de l'Ontario et d'ailleurs au pays, qui ont un compte auprès du Mouvement Desjardins, et ces gens sont très inquiets. Nos bureaux sont constamment interpellés depuis trois semaines et on n'a pas eu de réponse du gouvernement. C'est pourquoi nous tenons cette réunion d'urgence aujourd'hui afin de déterminer ce que peuvent faire les ministères fédéraux pour aider les Canadiens.
Vous nous dites que la GRC n'est pas vraiment impliquée, mais avec son agence de cybersécurité, ses liens avec des organisations comme INTERPOL et tous les autres moyens à sa disposition, n'est-elle pas en mesure d'intervenir? Nous ne voulons pas nous immiscer dans l'enquête policière, mais nous avons appris que des données auraient été vendues à l'étranger. Alors, n'y a-t-il pas des moyens technologiques ou techniques pouvant permettre à la GRC d'intercepter d'éventuelles fraudes?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:40
Comme je l'ai expliqué tout à l'heure, dans bon nombre des situations de ce genre, le rôle de la GRC est de collaborer avec ses partenaires provinciaux et municipaux. Il est important de reconnaître que nos partenaires provinciaux et municipaux sont très habiles pour intervenir dans beaucoup de ces incidents. Il n'est pas toujours vrai que la GRC dispose de pouvoirs, d'autorisations ou de capacités supérieurs à ceux que nos partenaires ont pour faire face à un incident unique en son genre, où une personne est impliquée dans un événement unique, contrairement à un événement plus vaste.
Toutefois, si les partenaires provinciaux et municipaux de la GRC ont besoin d'assistance technique ou de conseils, cette dernière est toujours prête à les lui offrir. Il serait inapproprié que la GRC s'immisce dans la compétence d'un autre corps policier pour diriger l'enquête qu'il mène.
Voir le profil de Pierre Paul-Hus
PCC (QC)
Je comprends ce que vous nous dites au sujet de l'enquête qui est probablement menée par la Sûreté du Québec. Cependant, ce que les conservateurs et le NPD veulent savoir, c'est ce que peut faire la GRC en ce qui concerne les données de 2,9 millions de personnes qui ont été transmises à des criminels. Je ne veux pas parler de l'enquête, je veux savoir si vous avez des ressources. Si ce n'est pas le cas, nous voulons le savoir. C'est pour cela que nous sommes ici aujourd'hui. Si des données ont été vendues à l'étranger, ce n'est pas la Sûreté du Québec ni la police de Laval qui va s'en occuper. Je crois que cela relève de la GRC.
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:42
Au-delà de l'enquête, je peux dire que, dans la plupart des cas, les cybercriminels commettent leurs crimes pour avoir accès à des renseignements personnels ou financiers dans le but de mettre la main sur l'argent que détiennent les institutions financières. La GRC travaille constamment en étroite collaboration avec la communauté internationale pour trouver et poursuivre les personnes qui commettent une bonne partie de ces crimes.
En collaboration avec ses partenaires étrangers, de nombreuses grandes institutions financières du Canada et l'Association des banquiers canadiens, la GRC cible les personnes qui causent les dommages les plus importants. L'équipe du Programme de prévention et de mobilisation de la Police fédérale a organisé des rencontres avec les institutions financières et les intervenants du secteur de la cybersécurité. Nous avons un nouveau comité consultatif qui nous aide à cibler ces personnes.
Le savoir est entre les mains des institutions financières et des organismes de cybersécurité. Nous consacrons nos ressources d'enquête à cibler les personnes qui causent le plus de dommages.
Nous collaborons aussi avec les autres pays. Quand des cas se produisent, nous nous entretenons avec les forces de l'ordre des autres pays. Nous signalons les comportements que nous avons constatés dans nos dossiers ou dans ceux de nos partenaires canadiens. Si des liens peuvent être faits, ou si des personnes recherchées sont dans un de ces pays, nous invoquons le traité d'entraide juridique et nous collaborons entre services de police dans le but de concentrer tous les efforts internationaux vers un problème commun.
Comme je l'ai déjà dit, je ne peux pas parler de ce cas en particulier, et je m'en excuse. Je ne peux pas dire ce qui est fait et ce qui n'est pas fait dans ce cas-ci.
Voir le profil de Pierre Paul-Hus
PCC (QC)
Depuis qu’on est au fait de ce problème, est-ce qu’une cellule spéciale a été mise sur pied à la GRC pour aider à le résoudre?
Voir le profil de Matthew Dubé
NPD (QC)
Merci, monsieur le président.
Je remercie M. Flynn d’être ici aujourd’hui.
Il est important de parler de cette situation, car les gens sont inquiets, comme mon collègue vient de le mentionner. Il est essentiel d'obtenir plus d’information sur les capacités du fédéral et les moyens dont nous disposons pour traiter cette question, d'autant plus que ce comité vient de terminer, juste avant la levée des travaux en juin, une étude sur la cybersécurité dans le secteur financier. Je reviendrai sur certains éléments auxquels nous avions touché et qui sont pertinents dans le cas qui nous concerne aujourd’hui.
J’aimerais revenir sur quelques éléments que vous avez mentionnés dans vos réponses. Tout d'abord, il y a des rumeurs selon lesquelles des données auraient été vendues à des organisations criminelles au-delà des frontières du Québec et du Canada. Je ne vais pas parler de ce cas précis, puisque vous ne pouvez pas le commenter, mais à quel moment la GRC s’active-t-elle pour venir en aide aux instances très compétentes comme la Sûreté du Québec quand il s’agit d’une organisation criminelle qu’elle surveille déjà et qui opère à l’étranger?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:46
Nous avons régulièrement des rencontres officielles avec les autres services de police du pays. Dans le domaine de la cybercriminalité, ces rencontres ont lieu une fois par mois. Dans d'autres domaines, elles ont lieu toutes les deux semaines. Quoi qu'il en soit, lorsqu'un cas comme celui-ci se produit, des appels sont immédiatement faits, comme vous le décrivez, pour que la collaboration fonctionne et que les renseignements pertinents que détiennent nos partenaires étrangers puissent servir aux enquêtes.
Voir le profil de Matthew Dubé
NPD (QC)
Merci.
En parlant des pouvoirs et des capacités de la police municipale, de la Sûreté du Québec et de la police provinciale de l'Ontario, vous avez dit qu'elles avaient des compétences importantes en matière de cybersécurité. Est-ce que la GRC détient une certaine expertise unique ou des informations qui pourraient leur être utiles?
Je pose la question parce que c'est que le gouvernement s'est vanté de la consolidation des compétences du CST, de la GRC et de toutes les agences qui œuvrent dans le domaine de la cybersécurité en nous disant qu'il voulait assurer une mise en commun de l'information afin que tout le monde soit sur la même longueur d'onde. D'ailleurs, j'y reviendrai quand ce sera le tour de M. Boucher, du Centre canadien pour la cybersécurité.
Est-ce que vous fonctionnez de la même façon avec la police municipale ou provinciale, le cas échéant?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:48
Oui, c'est ce que nous faisons. Comme je l'ai dit, nous travaillons en étroite collaboration avec les services de police provinciaux et municipaux. En fait, je peux vous dire — et j'en suis très fier — que pendant certaines de ces rencontres, où l'équipe du Programme de prévention et de mobilisation de la Police fédérale avait réuni des intervenants du secteur privé, du secteur de la cybersécurité et des institutions financières, quelqu'un dans la salle a tenu à prendre la parole pour remercier la GRC de cette collaboration dans le domaine de la cybersécurité, qui était beaucoup mieux que cette personne n’avait jamais pu constater dans sa carrière.
J'en suis très fier parce que la collaboration et le soutien entre les forces de l'ordre, et non la concurrence, c'est une priorité pour mon équipe, mes employés et moi-même. Nous ne nous substituons pas aux autres services de police, nous cherchons à les aider.
Voir le profil de Matthew Dubé
NPD (QC)
Merci. Je ne veux pas vous couper la parole, mais le temps file.
Dans le cadre de notre étude sur la cybersécurité dans le monde financier, nous avons parlé du fait qu'on a tendance à se faire une image des acteurs étatiques. Sans les nommer, je suis certain que tout le monde a une idée des différents pays qui pourraient porter atteinte à la cybersécurité au Canada.
Je comprends que vous ne pouvez pas en parler, mais dans le cas qui nous concerne, on parle d’un individu. Il pose néanmoins une menace, car les données en question peuvent être vendues et se retrouver entre les mains d'acteurs étatiques. Une des choses que nous avons entendues, c'est que les individus posent la plus grande menace. Est-ce que c’est toujours le cas? Est-ce qu’un criminel qui voudrait procéder à un vol de données pose une plus grande menace que certains pays qu'on pourrait soupçonner?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:50
L'origine de la menace est multiple. Je ne peux pas dire laquelle des origines possibles est la pire parce que, selon mon expérience, il y a un nombre considérable de groupes organisés et de personnes qui commettent des crimes sur Internet. Internet est tout aussi bien un catalyseur qu'un outil permettant d'utiliser et de mettre à profit les extraordinaires services qui nous sont offerts.
Voir le profil de Matthew Dubé
NPD (QC)
Je vais vous interrompre parce que mon temps de parole tire à sa fin.
La présence de groupes organisés ou de pays avec de mauvaises intentions et qui voudraient acheter les renseignements a-t-elle créé une espèce de marché? Y a-t-il un mauvais incitatif, mais néanmoins un incitatif, pour un individu comme l'individu allégué en question, de voler des renseignements pour ensuite les vendre à des groupes intéressés? La présence de tels groupes incite-t-elle des individus ayant une expertise en la matière à poser des gestes qu'ils ne poseraient pas normalement?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:51
Oui, tout à fait. Il y a des services de cybercriminalité qui aident d'autres acteurs moins compétents à commettre des crimes sur Internet, qu'il s'agisse de créer des logiciels malveillants, de faire fonctionner les infrastructures ou de créer les mécanismes par lesquels quelqu'un peut vendre de l'information volée. C'est l'une des cibles visées par la GRC dans le cadre de son mandat fédéral. Elle cible les principaux services qui facilitent les crimes afin de s'attaquer plus efficacement aux crimes commis au lieu de pourchasser individuellement les criminels.
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 13:52
Merci, monsieur le président. Comme vous l'avez demandé, ma présentation sera plutôt courte.
Monsieur le président et distingués membres du Comité, je m'appelle André Boucher. Je suis sous-ministre délégué des opérations au Centre canadien pour la cybersécurité.
Tout d'abord, je vous remercie d'avoir accepté de nous recevoir et d'entendre mon témoignage cet après-midi.
En guise de préambule, permettez-moi de vous présenter brièvement l'organisme que je représente.
Le Centre canadien pour la cybersécurité a été institué le 1er octobre 2018 et relève du Centre de la sécurité des télécommunications. À titre d'autorité canadienne en matière de cybersécurité, l'organisme dirige les interventions du gouvernement suivant des événements liés à la cybersécurité.
Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, nous offrons des conseils et du soutien d'expert et coordonnons les communications d'information ainsi que les interventions en cas d'incident.
Les partenariats que le Centre canadien pour la cybersécurité établit avec les intervenants de l'industrie représentent un élément clé de notre mission. Nous avons pour objectif de promouvoir l'intégration de la cyberdéfense dans le modèle d'affaires de nos partenaires de l'industrie, ce qui aura pour effet d'accroître le niveau global de résilience du Canada à l'égard des cybermenaces. Or, malgré les efforts que l'industrie et le Centre ont à déployer, force est de constater que des cyberincidents ont tout de même lieu.
Cela m'amène à aborder le sujet dont j'aimerais vous entretenir cet après-midi. Il convient tout d'abord d'indiquer que le Centre canadien pour la cybersécurité n'est en mesure de fournir aucun détail concernant l'incident en question et qu'il n'émettra aucun commentaire quant aux pratiques de cybersécurité d'une entreprise particulière ou d'un individu. Au reste, toute forme d'atteinte à la cybersécurité peut être vue comme une occasion de réévaluer ses propres pratiques et de renforcer les systèmes, les processus ainsi que les mesures de protection.
Dans le cas présent, les articles de médias et les déclarations publiques indiquent qu'une divulgation de renseignements personnels a eu lieu suivant des actes commis par un individu œuvrant pour l'entreprise en cause, ce que l'on appelle communément une menace interne.
Dans sa récente publication intitulée Introduction à l'environnement de cybermenaces, le Centre pour la cybersécurité décrit la menace interne comme étant ces individus qui travaillent dans un organisme, mais que l'on considère comme particulièrement dangereux, puisqu'ils ont accès à des réseaux internes qui sont protégés par des périmètres de sécurité. Pour tout intervenant malintentionné, l'accès est l'élément déterminant. Comme ils jouissent d'un accès privilégié aux données protégées par l'organisme qui les emploie, les auteurs de menace internes ne sont pas contraints de recourir aux méthodes que l'on doit normalement appliquer à distance, ce qui leur permet de collecter assez aisément de précieux renseignements. De fait, cet incident nous rappelle l'importance du facteur humain en matière de cybersécurité. Or, les menaces internes ne sont qu'un exemple de ce type de problème.
Les cybercriminels ont été particulièrement ingénieux lorsqu'il s'est agi d'exploiter le comportement humain à des fins de piratage psychologique et d'inciter les personnes à divulguer, bien qu'à leur insu, des renseignements sensibles. La sécurité de nos systèmes dépend essentiellement de la fiabilité des humains, c'est-à-dire les utilisateurs, les administrateurs et les équipes responsables de la sécurité.
Il convient donc de nous demander ce que nous pouvons faire dans un environnement où les cybermenaces se multiplient. Sur le plan de l'entreprise, il est capital d'adopter une approche globale qui se caractérise d'abord par la promotion d'une culture de sécurité et par la mise en place des politiques, des procédures et des pratiques nécessaires en matière de cybersécurité. Nous disposerons ainsi d'un plan d'intervention en cas de problèmes; et nous savons que des problèmes, il y en aura toujours.
Il faut investir pour que les personnes détiennent les moyens d'agir. La formation et la sensibilisation des personnes et des entreprises s'avèrent essentielles. Ce n'est que par la sensibilisation que nous pourrons continuer de développer et d'inculquer de bonnes pratiques de sécurité, une mesure essentielle pour protéger les systèmes informatiques du Canada.
Il faut également déterminer et protéger les actifs essentiels. Il importe de savoir où se trouvent les données clés. Assurez-vous donc de leur protection et surveillez les mesures de protection prises. Soyez prêts à intervenir.
Au Centre pour la cybersécurité, nous continuerons à travailler avec les intervenants de l'industrie ainsi qu'à fournir des conseils et des avis en matière de cybersécurité par l'intermédiaire de notre site Web. En l'occurrence, nous publions des alertes et des avis lorsque des cybermenaces, des vulnérabilités ou des incidents possibles, imminents ou réels touchent ou pourraient toucher les infrastructures essentielles du Canada.
Quoi qu'il advienne, il conviendra de poursuivre le dialogue que nous tenons présentement, de redoubler de vigilance et de porter une attention particulière aux enjeux de cybersécurité.
En dernière analyse, on constate qu'il n'existe aucun remède miracle lorsqu'il est question de cybersécurité. Il nous est donc interdit de baisser la garde. Les enjeux sont beaucoup trop importants. Certes, les prochaines avancées technologiques pourraient très bien nous faciliter la tâche, mais il n'en demeure pas moins que nous devrons toujours pouvoir compter sur un effectif compétent et fiable.
Je vous remercie, et je suis maintenant disposé à répondre à vos questions.
Voir le profil de Michel Picard
Lib. (QC)
En guise de préambule, je rappelle que l'incident dont nous parlons aujourd'hui s'inscrit tout à fait dans l'étude que nous faisons depuis le mois de janvier sur la cybersécurité et les crimes financiers.
J'ai déposé une motion pour que nous fassions une étude sur ce sujet, tel que suggéré par mes collègues libéraux. Cela démontre notre grande préoccupation au sujet de la cybersécurité dans les institutions financières. Je me réjouis que M. Scheer ait salué les efforts que nous avons faits dans le cadre de cette étude. Finalement, il est tout à fait d'accord sur mon initiative et je suis content qu'on contribue aux efforts du Parti libéral pour traiter des préoccupations liées à cybersécurité dans les institutions financières. Alors, merci.
Monsieur Flynn, je pense qu'il est important de s'adresser au public maintenant et de gérer ses attentes dans une situation aussi grave qu'un vol d'identité.
On souhaite que la police intervienne dans l'enquête criminelle. Pour la plupart, les gens veulent qu'on remédie à la perte de leurs données et que leur identité soit restaurée, sans crainte qu'on l'usurpe à nouveau dans 5, 10 ou 15 ans. Quelles sont les attentes du public relativement aux résultats de l'enquête criminelle?
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 13:59
Du point de vue des services de police, je crois que les gens s'attendent à ce qu'ils trouvent l'auteur du vol ou de la monétisation des données ainsi que tous ceux qui y ont participé de quelque façon, que ce soit par l'intermédiaire de cybermenaces, de cybercompromissions, de menaces internes, et j'en passe. Ils s'attendent à ce que ces personnes répondent de leurs actes devant la justice, à ce qu'il y ait des conséquences, puis à ce que l'on prenne des mesures pour éviter que de tels incidents se reproduisent.
Voir le profil de Michel Picard
Lib. (QC)
Les gens ont beaucoup de mal à comprendre jusqu'à quel point c'est difficile de prouver qu'on est bien la personne qu'on prétend être. De quelle façon peut-on prouver sa propre identité? Ce sera un grand défi lorsque trois personnes se présenteront avec le même nom et le même numéro d'assurance sociale éventuellement.
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 14:00
En tant qu'agent de police, la confirmation de l'identité n'est pas mon domaine de compétence. Comme je l'ai dit plus tôt, je me tournerais vers les ressources locales, qu'il s'agisse d'institutions financières ou d'autres types de services. Si vous pouvez utiliser un service local pour confirmer votre identité, c'est la meilleure façon de gérer les demandes des entreprises à cet effet.
Voir le profil de Michel Picard
Lib. (QC)
Dans une certaine mesure, l’enquête criminelle va rendre justice. Si on met la main au collet des criminels à la suite du dépôt de la preuve, on les poursuivra en justice et il y aura une conséquence judiciaire, essentiellement leur emprisonnement.
Cela dit, la donnée sur le marché représente un actif virtuel et ne se trouve pas dans un endroit physique donné; elle peut être à plusieurs endroits. Je ne veux pas alarmer les gens, mais il est important qu'ils réalisent que, bien qu’on ait arrêté les criminels, cela ne veut pas dire nécessairement que la donnée a été éliminée et que l'identité a été restaurée.
Mark Flynn
Voir le profil de Mark Flynn
Mark Flynn
2019-07-15 14:01
C'est exact. Il est important de souligner que les poursuites ne sont pas forcément le seul indicateur de réussite. En fait, dans le milieu du cyber, beaucoup de poursuites peuvent, au fil de nos collaborations, relever d'autres compétences.
Une des approches adoptées par la GRC, tout comme d'autres corps policiers d'ailleurs, est d'inclure des institutions financières et des experts en cybersécurité dans nos enquêtes criminelles, ce qui ne correspond pas à la façon dont nous procédons habituellement. Toutefois, nous en constatons déjà les résultats, puisque nous en tirons des avantages importants. Ces « partenaires », comme je les appelle, repèrent des renseignements qui ne paraissent pas forcément importants aux policiers. Sans leur aide, nous ne pourrions peut-être pas savoir que ces renseignements peuvent servir à protéger leurs clients. Je connais au moins un exemple dans le cadre d'une enquête majeure en cours où, grâce à une telle collaboration, plusieurs institutions financières ont pu repérer des comptes compromis et en atténuer les vulnérabilités.
Je crois donc que l'approche que nous avons adoptée engendre des avantages qui ne se quantifient pas seulement en arrestations et en poursuites.
Voir le profil de Michel Picard
Lib. (QC)
Monsieur Boucher, vous avez une approche-conseil auprès des organismes. Comment une entreprise peut-elle se protéger de ses propres employés? Quels conseils peut-on lui donner à cette fin?
Comme on l’a vu cet hiver, il n'y a aucune raison de croire que les banques, les institutions financières et les entreprises de services financiers ne profitent pas de la meilleure technologie possible pour protéger leurs données des menaces extérieures. Ce qui nous préoccupe, ce sont les menaces qui viennent de l'intérieur. À mon avis, il n’y a pas de logiciel qui aide à contrer ce genre de risque. Quelle approche conseil avez-vous auprès des organismes pour couvrir le risque humain de fraude?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:03
Je vous remercie de votre question.
Cela revient à mes commentaires d'ouverture. Il existe quelques outils, mais ce qui est le plus efficace, c'est de retourner aux principes de base et d’avoir une approche holistique et large en matière de sécurité.
Il faut d'abord avoir un programme de sécurité bien établi relativement au personnel à l'interne, bien comprendre où sont les choses qu’on veut protéger, connaître les individus avec qui on s’associe et avoir un programme toujours renouvelé. Ce n’est pas parce qu’on rencontre quelqu’un une fois dans une entrevue que sa situation de vie ne va pas changer. On renouvelle périodiquement ces conversations. Pour les individus, il y a un programme clair d’entraînement, de formation et de rafraîchissement des connaissances, lequel est soutenu par des processus clairs.
Les équipes de technologie de l’information ont accès à certains outils de prévention de la perte de données, notamment, qui peuvent contribuer à la détection d'une fraude. Cependant, par le temps qu'on détecte une fraude, il est souvent trop tard. Il est donc important d’investir le plus tôt possible dans l'édification d'une confiance et de s’entourer de gens fiables.
Voir le profil de Glen Motz
PCC (AB)
Merci, monsieur le président.
Je remercie tous les témoins de s'être déplacés.
Monsieur Boucher, vous avez déclaré dans vos commentaires d'ouverture que le Centre canadien pour la cybersécurité est l'autorité nationale en matière de cybersécurité et dirige la réponse du gouvernement en cas d'incident lié à la sécurité informatique, ce qui a attiré mon attention:
Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents.
C'est fantastique. Et cela m'amène aussi à vous poser la question suivante: quelles sont les normes ou mesures appliquées à l'heure actuelle? Pour nous, le système bancaire canadien est une infrastructure essentielle de notre pays. Quelles sont les normes appliquées actuellement pour veiller à ce que ces attentes soient respectées? Y a-t-il des incitatifs? Y a-t-il des pénalités? Y a-t-il quoi que ce soit qui assure une approche uniforme au sein de ce secteur pour veiller à la sécurité des Canadiens? Nous sommes là pour servir les Canadiens. Je serais curieux de savoir s'il y a des exigences opérationnelles de base auxquelles tous les acteurs du secteur doivent se plier. S'il n'y en a pas, pouvez-vous me dire pourquoi? Et comment pouvons-nous en établir?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:05
Je vous remercie pour votre question. Sa portée est très large. Je crois que, cet après-midi, vous entendrez des experts de ce secteur précis des institutions financières.
Je vous dirais que, du point de vue de la cybersécurité, le secteur financier est fort développé, puisqu'il comprend tant des organismes de réglementation que des pratiques exemplaires bien établis. En tant qu'experts de la cybersécurité, nous déployons des efforts considérables pour qu'une telle collaboration s'inscrive dans ces pratiques exemplaires. Nous laissons les organismes de réglementation du secteur établir les normes et lignes directrices de base, les revoir et assurer leur application. En fait, nous misons sur ce que chacun a de mieux à offrir et en tirons le maximum dans des secteurs en entier. Dans le cas présent, il s'agit du secteur financier. C'est l'un des secteurs très développés où la collaboration va de soi. C'est un secteur qui accorde sa véritable valeur aux risques pour la réputation. Des investissements majeurs sont faits à cet égard.
Sur le plan national, je crois que la présence de normes de base et d'organismes de réglementation qui veillent à leur application, sans compter des équipes qui s'emploient à aider les entreprises à offrir le meilleur rendement possible, est fort rassurante.
Voir le profil de Glen Motz
PCC (AB)
Environ 2,9 millions de particuliers et d'entreprises au Canada sont touchés par cet incident, mais des millions d'autres au pays ont aussi été victimes d'un vol d'identité ou de renseignements relatifs à leur carte de crédit. Le fait d'apprendre que notre secteur bancaire est bien développé ne suffira peut-être pas à les réconforter, puisqu'ils continuent de subir les répercussions de ce méfait. Je serais curieux de savoir si nous sommes aussi énergiques que nous pourrions ou devrions l'être quant à la sécurité des institutions financières et des personnes qui leur accordent leur confiance.
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:07
Je vous assure que nous mettons énergiquement à profit toutes les mesures à notre disposition, qu'il s'agisse de pratiques exemplaires en matière de collaboration ou de mesures en place.
La triste réalité, comme je l'ai mentionné plus tôt, c'est que nous devons malheureusement tous vivre avec la perte de données et le fait que nous ne pourrons jamais les récupérer. Contrairement à un actif tangible, il n'est pas possible d'aller les chercher pour les ramener à la maison. C'est une nouvelle réalité, tant pour les clients que les entreprises.
Comme je l'ai souligné un peu plus tôt, cela vient confirmer toute l'importance d'investir tôt, tant dans l'acquisition de programmes que dans le recrutement mieux avisé des employés et l'adoption d'une approche globale en matière de sécurité afin de ne pas se retrouver en position de rattrapage.
Voir le profil de Glen Motz
PCC (AB)
D'accord, merci.
Monsieur Flynn, les circonstances actuelles et d'autres avant cela nous ont appris que les données constituent la marchandise la plus courue sur le Web profond. Nous le savons. Le nom, l'adresse, la date de naissance, le numéro d'assurance sociale, l'adresse IP et le courriel des gens, toutes ces données sont de la marchandise échangée à volonté en ligne. Quelques questions me viennent d'ailleurs à l'esprit. Pouvez-vous aider la population canadienne à comprendre de quelle façon le milieu interlope utilise ces renseignements, mais aussi de quelle façon nous pouvons faire preuve de vigilance? Vous avez déjà partiellement répondu à M. Drouin, mais, en votre qualité de représentant de l'organisme national d’application de la loi, à quels signaux d'alarme les Canadiens devraient-ils prêter attention, selon vous, si leurs données ont été compromises, et même avant qu'elles le soient?
Voir le profil de Julie Dabrusin
Lib. (ON)
Merci.
Quand nous avons fait notre étude au sujet des associations bancaires et de la cybersécurité, on a dit qu'il y avait beaucoup de sécurité du côté bancaire, ce qu'on remet peut-être en question maintenant, et on a parlé des individus comme s'ils étaient des boîtes de carton.
Qu'est-ce que les individus peuvent faire pour mieux se protéger? Pouvez-vous nous donner des informations et des données? Y a-t-il un endroit où les gens peuvent trouver de l'information, que ce soit sur des sites Web ou par téléphone, afin de mieux se protéger? Pouvez-vous nous aider, monsieur Boucher?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:10
Je vous remercie de votre question.
Nous avons un très grand programme. Sur notre site Web, cyber.gc.ca, les gens peuvent trouver des mesures appropriées pour les individus. Effectivement, l'individu doit être alerte lorsqu'il navigue sur Internet. Cela est au cœur de la cybersécurité. Il faut savoir non seulement comment utiliser Internet, mais aussi ce qu'on met en commun avec les gens. Nous menons constamment des campagnes d'information sur l'utilisation des appareils et nous conscientisons les gens à l'importance de choisir ceux à qui ils communiquent de l'information privilégiée.
C'est une chose de se munir du meilleur appareil et de le tenir à jour, mais encore faut-il faire de bons choix. Il faut aller sur des sites Web d'entreprises qu'on considère comme fiables et qui ont une bonne réputation. Une fois qu'on a fait tout cela, il faut aussi choisir les renseignements qu'on transmet à l'entreprise en question. Il y a donc trois étapes, et toute cette information est disponible dans les avis que nous donnons aux gens.
Voir le profil de Julie Dabrusin
Lib. (ON)
D’accord.
Il y avait aussi beaucoup d’information au sujet des mots de passe. Par exemple, on parlait des gens qui utilisent le même mot de passe pour toutes leurs activités sur Internet.
Est-ce que vous pouvez nous donner des informations sur les façons dont les gens peuvent mieux se protéger avec leurs mots de passe? C'est important.
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:12
Oui. Sur notre site Web — j'en fais toujours la promotion —, nous donnons des conseils précis sur la longueur et la complexité des mots de passe. Il y a aussi quelques trucs. Je veux laisser la chance aux gens d'aller en prendre connaissance par eux-mêmes. Il y a souvent des rumeurs disant qu’il faut changer souvent son mot de passe. Le problème, c'est que cela signifie que l'on doit mémoriser plusieurs mots de passe qui sont constamment en changement. Au fil du temps, l’avis a évolué. Maintenant, on dit qu'il faut au moins choisir un mot de passe solide, ce qui est défini par certains paramètres, que l'on peut trouver en ligne, qu'il s'agisse de la longueur ou de la complexité, selon ce que le fournisseur offre. S'il offre d’utiliser 15 caractères, on doit essayer de tous les utiliser. Si on ne nous en offre que huit, c’est déplorable, mais on doit alors choisir un mot de passe plus complexe.
Changer souvent son mot de passe n'a pas beaucoup de valeur si cela nous force à les noter quelque part ou à utiliser le même sur plusieurs sites. Ce que nous demandons aux gens, c’est d’être diligents et de choisir un mot de passe unique et aussi fort que le permettent les paramètres du fournisseur. Ils peuvent garder le même mot de passe, mais s’il y a un incident, ils doivent réagir rapidement, le changer et mettre en place des mesures de sécurité additionnelles. Il y a donc une combinaison de choses à faire.
Voir le profil de Julie Dabrusin
Lib. (ON)
L’autre problème, c'est qu’une fois qu'ils ont trouvé un mot de passe qui fonctionne bien, les gens l’utilisent sur tous les sites Web. Certains sites Web nous disent qu’on a besoin de plus de caractères ou d’autres choses, mais on ne nous rappelle jamais que nous devrions avoir d’autres mots de passe et non utiliser le même partout. Est-ce que vous pouvez dire quelque chose à ce sujet aussi?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:13
Là, vous me demandez d’être très pragmatique.
Mme Julie Dabrusin: Oui, mais c’est pragmatique.
M. André Boucher: Si je vais au-delà du conseil spécifique d’être très pragmatique, ce que je proposerais aux gens, c’est de regrouper leurs mots de passe selon le niveau d’incertitude qu'ils ont à l'égard des différents services qu'ils utilisent. Par exemple, pour leurs services bancaires, ils voudront utiliser plusieurs mots de passe distincts et les plus complexes possible. Par contre, pour leur compte sur le site de leur club local de curling ou d'autres comptes similaires, ils pourraient peut-être se donner la latitude d’utiliser le même mot de passe quelques fois, même si je ne le leur recommande pas.
Voir le profil de Julie Dabrusin
Lib. (ON)
Qu’est-ce que les banques peuvent faire pour donner de meilleures informations aux gens qui utilisent leurs services?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:14
Je crois que la plupart, sinon toutes les banques demandent un minimum de sophistication quant au mot de passe. Elles ont déjà établi une certaine norme pour se protéger elles-mêmes d’un client qui ne serait peut-être pas diligent dans la sélection de son mot de passe.
Voir le profil de Alupa Clarke
PCC (QC)
Merci, monsieur le président. Je suis très content d’être ici.
Je vous remercie, messieurs, d’être ici aujourd’hui et de donner de votre temps pour rassurer les Canadiens et répondre à nos questions.
Une des pierres angulaires du contrat social que nous avons sur notre territoire, c’est la protection des citoyens, non seulement celle qu'ils s'offrent réciproquement entre eux, mais aussi celle qu'ils reçoivent de l'État. Depuis trois semaines, les citoyens de toutes nos circonscriptions sont extrêmement préoccupés. Deux jours après que la fuite de données a été rendue publique, des gens venaient à mon bureau. Lorsque je faisais du porte-à-porte, c'est tout ce dont ils me parlaient. Il y a donc une vraie préoccupation et les gens sentent qu’il n’y a aucune réponse de la part du gouvernement.
Ce que mes concitoyens voudraient savoir de votre part, monsieur Boucher, est très simple: est-ce que le Centre canadien pour la cybersécurité peut effectivement assurer la sécurité en bonne et due forme des 2,9 millions de Canadiens qui ont été touchés par ce vol de données personnelles, oui ou non?
Est-ce que votre institution a les outils nécessaires pour faire face à cette situation et assurer la protection des citoyens victimes de vol d'identité?
André Boucher
Voir le profil de André Boucher
André Boucher
2019-07-15 14:16
Il est juste de dire que le Centre canadien pour la cybersécurité a les moyens de prendre des mesures concernant tous les aspects de la cybersécurité. Nous traitons aujourd'hui d'un cas de menace interne et de vol d’informations. Ce n’est pas, au sens strict, une question de cybersécurité...
Voir le profil de Alupa Clarke
PCC (QC)
Je ne parle pas de l’événement qui est arrivé, je parle de ce qui va arriver prochainement. C’est cela qui inquiète les citoyens. Je veux savoir si le Centre canadien pour la cybersécurité a la capacité de faire face aux fraudeurs internationaux ou nationaux qui tentent d’envoyer des messages textes ou quoi que ce soit.
Votre organisme a-t-il la capacité de faire face à cela?
Résultats : 1 - 60 de 7238 | Page : 1 de 121

1
2
3
4
5
6
7
8
9
10
>
>|
Afficher les deux langues
Préciser votre recherche
Exporter en: XML CSV RSS

Pour plus d'options de données, veuillez voir Données ouvertes