(Ottawa) Le gouvernement de Justin Trudeau a déposé mardi un projet de loi visant à mieux protéger la population des cyberattaques en obligeant des entreprises qui tombent sous réglementation fédérale à signaler à Ottawa des incidents dont elles ont été la cible.

« Au cours des derniers mois, nous avons vu des organisations à travers le pays, allant d’importants hôpitaux à de grandes usines, frappées par des attaques au rançongiciel et d’autres offensives. Alors que nous redoublons nos propres défenses, nous devons les aider à renforcer les leurs », a dit en point de presse le ministre de la Sécurité publique, Marco Mendicino, quelques heures après avoir déposé le projet de loi C-26.

Les changements législatifs proposés prévoient une obligation de divulgation d’incidents de cybersécurité aux autorités fédérales, mais les détails restent à être fixés, par voie réglementaire, sur l’étendue de cette exigence.

De hauts fonctionnaires ont expliqué en séance d’information technique que l’objectif visé est une adoption de C-26 à l’automne prochain et la mise en place d’un régime réglementaire dans les six mois suivants.

Photo Fred Chartrand, La Presse Canadienne

Marco Mendicino

« Il incombe à tout exploitant désigné de déclarer sans délai tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications », peut-on lire dans le projet de loi.

Les hauts fonctionnaires ont précisé que la liste des « exploitants désignés » ainsi que le « seuil » à atteindre pour chaque obligation de signalement font partie des détails à fignoler, au terme de consultations avec l’industrie.

Le ministre Mendicino a indiqué que les dispositions viseraient les entreprises réglementées par le fédéral dans quatre grands secteurs, c’est-à-dire « les finances, les télécommunications, l’énergie et les transports ». Cela pourrait donc inclure des institutions bancaires et des entreprises ferroviaires.

« Nous savons tous que les infrastructures de télécommunication sont parmi les plus importantes et les plus critiques ici au pays pour assurer la prospérité et la sécurité des Canadiens », a renchéri à ses côtés le ministre de l’Innovation, François-Philippe Champagne.

Il a souligné que le projet de loi C-26 fait aussi suite à l’annonce du mois dernier que les fournisseurs chinois Huawei Technologies et ZTE seront bannis des réseaux mobiles de prochaine génération du Canada, la 5G. Il a signalé du même souffle que l’idée est d’aller bien au-delà de Huawei et de s’adapter « au futur ».

« Le projet de loi […] aura pour effet d’interdire toute entreprise potentielle qui pourrait constituer, à l’avenir, une menace à notre sécurité nationale », a résumé M. Champagne.

Pour ce faire, Ottawa souhaite se doter de pouvoirs, avec C-26, de statuer et d’agir par décret pour bannir tout autre fournisseur jugé à haut risque.

Son collègue, M. Mendicino, a assuré que l’emploi de ces importants pouvoirs par le fédéral serait balisé par des critères et soumis à des mécanismes de surveillance, notamment judiciaires.

Les dispositions de C-26 dans cette veine précisent notamment que les chaînes d’approvisionnement doivent être protégées des menaces et cyberattaques.

Par ailleurs, la pièce législative fera en sorte, si elle est adoptée, que le ministre Champage et ses successeurs auront le pouvoir de désigner « toute personne […] à titre d’inspecteur, aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition ».

Des amendes sont prévues pour le non-respect de l’éventuelle loi C-26 et des décrets qui pourraient en découler. La plus sévère inscrite dans le projet de loi atteindrait 15 millions.

Questionné à savoir s’il redoutait des mesures de réciprocité de certains États face aux changements annoncés ou un ralentissement de certains investissements étrangers, le ministre Champagne a répondu par la négative.

« Je ne suis pas inquiet parce que je vous dirais que protéger la sécurité nationale, c’est une responsabilité et un devoir de chaque État et ce qu’on fait au Canada n’est pas différent de (ce qu’on voit) dans les autres pays du G7 », a-t-il soutenu.

« On voit des acteurs étrangers, étatiques et non étatiques qui essayent de s’infiltrer, de vouloir prendre des données des entreprises de chez nous, de vouloir rentrer dans nos systèmes, alors (il faut) se donner les pouvoirs juridiques […] pour pouvoir agir de façon rapide, raisonnée, de (et) proactive », a poursuivi M. Champagne.

La pièce législative, si elle est adoptée, modifiera des dispositions de la Loi sur les télécommunications et de la Loi sur la preuve, en plus de créer une toute nouvelle législation, soit la Loi sur la protection des cybersystèmes essentiels.