Services bancaires, transports, énergie, télécommunications… À l’instar de NIS2 et DORA en Europe, le gouvernement canadien lance le projet de loi C-8. D’une ambition inédite, il vise à renforcer les exigences de conformité pour les secteurs les plus critiques dans un pays aux multiples particularités. 

La cybersécurité va-t-elle enfin entrer dans le dur au pays à la feuille d’érable ? Ce sera l’un des thèmes du prochain Forum INCYBER Canada du 1er au 3 décembre prochain à Ottawa. La future loi C-8 établit en tout cas le cadre le plus ambitieux jamais adopté au Canada. Le texte élargit à la fois les pouvoirs du gouvernement fédéral et établit pour les exploitants des obligations susceptibles d’exécution forcée. Sans surprise, ces futures règles concerneront les secteurs les plus critiques du pays : télécoms, finance, énergie, transports, etc.. « En pratique, cette loi impose des obligations détaillées à tous les exploitants, résume Pierre Lardin, pentester chez Genetec à Montréal, leader mondial en vidéosurveillance et contrôle d’accès. Elles couvrent aussi bien les politiques d’analyse des risques que la sécurité des systèmes et la cybersécurité dans les relations avec les prestataires tiers. » Ne manque plus qu’un décret pour acter son entrée en vigueur. En cas de non-respect de la loi, les amendes pourront aller jusqu’à 15 millions de dollars canadiens (CAD – plus de neuf millions d’euros) par jour !

Procédures dans un classeur

En pratique, le nombre d’organisations concernées est bien plus important que celles décrites ci-dessus. « En Europe, on a maintenant du recul sur NIS2 et DORA, observe Lilian Dulau, président de la société de services informatiques aux entreprises Nexxo France. Beaucoup de compagnies se croyaient en règle parce qu’elles avaient une vieille certification ou quelques procédures dans un classeur, mais le jour où on leur a demandé qui s’occupait de quoi, la réalité ne suivait pas toujours. » Toutefois, le projet de loi C-8 se distingue des directives européennes par une approche plus ciblée et plus centralisée. « Alors que NIS2 couvre un large éventail de secteurs critiques et que DORA constitue un régime très prescriptif spécifique au secteur financier, la loi C-8 vise principalement les infrastructures relevant de la compétence fédérale », précise Me Hélène Deschamps Marquis, avocate associée chez Blake à Toronto. Par ailleurs, selon le Commissariat à la protection de la vie privée du Canada, contrairement à NIS2, la loi C-8 n’impose pas explicitement d’informer les autorités en cas d’incident pouvant entraîner une violation de données personnelles.  

Résilience opérationnelle

D’autres différences tiennent à la géographie. Dans un pays 18 fois plus étendu que la France métropolitaine, le poids des infrastructures, notamment télécoms, est bien plus important. Au Canada, en effet, certaines villes ne sont reliées au reste du pays que par un seul câble. C’est le cas, en particulier, des communautés isolées du Grand-Nord, souvent autochtones. Et quand cette unique connexion tombe en panne, c’est toute une région qui se retrouve coupée du monde, sans internet ni téléphone. « La priorité est de s’assurer que si un maillon lâche, tout ne s’effondre pas derrière », témoigne M. Dulau. « Cette dispersion des infrastructures critiques explique l’emphase mise sur la résilience opérationnelle », ajoute Me Hélène Deschamps Marquis.

Le poids des grands opérateurs 

Autre difficulté, au Canada, une poignée de très grandes entreprises fournissent l’essentiel du téléphone et d’internet. Lorsqu’une seule d’entre elles a le moindre incident, des millions de personnes sont impactées. Cette concentration crée une fragilité qu’on connaît moins en Europe, où les acteurs sont plus nombreux. Cette loi C-8 ouvre en tout cas un nouvel espace de marché pour les cabinets de conseil, les éditeurs de solutions GRC et les prestataires de services managés en cybersécurité. Ceci s’inscrit aussi dans un contexte plus large d’augmentation des obligations réglementaires connexes, notamment dans le secteur de l’IA.

Pressions en cascade

Si les grands acteurs possèdent déjà des équipes dédiées et de l’expérience, au sein des entreprises moyennes, en revanche, la sécurité n’existe dans les faits que « parce que les gens font bien leur travail au jour le jour », mais aucune doctrine n’est écrite nulle part. D’autant que les attaques par rançongiciel sont en forte hausse au Canada. Les organisations locales ont en effet la réputation d’être prêtes à payer, « quoi qu’il en coûte », pour ne pas s’arrêter de fonctionner. Sans compter, et c’est l’effet le plus sous-estimé, mais celui qui monte le plus vite, que ces PME vont subir des pressions en cascade. Si une petite entreprise n’est pas visée directement par la loi C-8, dès qu’elle travaille avec un gros opérateur, celui-ci répercutera sur toute sa supply chain ses propres obligations. 

Menaces sur la vie privée

Reste que le débat le plus prégnant porte en ce moment sur les pouvoirs que s’octroie l’État canadien. Certains craignent que ces prérogatives aillent trop loin et finissent par menacer la vie privée des citoyens. « La mesure la plus contraignante et très complexe à mettre en place pour les entreprises est l’obligation de coopérer activement avec le gouvernement en cas d’incident », affirme M. Lardin. L’Europe a fait un autre choix avec le RGPD qui encadre beaucoup plus strictement l’usage des informations fournies par les internautes. La loi C-8 s’inscrit également dans un contexte plus large de sécurité nationale. « En octroyant aux autorités des pouvoirs étendus, tels que la restriction de l’utilisation de certains fournisseurs de télécommunications jugés à risque, le gouvernement veut miser sur une souveraineté technologique », observe Me Deschamps Marquis. Quant à la dépendance aux géants de la technologie, la différence est surtout dans le discours : l’Europe parle beaucoup de « souveraineté numérique » alors que le Canada reste plus proche des États-Unis et l’assume davantage.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.