PRB 01-7F

TABLE DES MATIÈRES

INTRODUCTION

INTÉRÊT ACCRU DES ÉTATS-UNIS

LES INITIATIVES CANADIENNES

PROTECTION DES INFRASTRUCTURES ESSENTIELLES
ET PROTECTION CIVILE

INTRODUCTION

Les ordinateurs sont aujourd’hui tellement répandus dans notre société moderne que nous tenons pour acquis les avantages qu’ils procurent aux gouvernements, aux entreprises, aux services publics et à beaucoup d’autres organisations. Mais l’ère informatique a aussi ses points faibles.  La technologie informatique est à ce point omniprésente et comporte des liens si étroits dans les secteurs des banques, du commerce, de l’énergie et de la fabrication que toute perturbation délibérée ou accidentelle à cet égard risquerait d’avoir des répercussions coûteuses.  En outre, toute altération des ordinateurs servant à la gestion des systèmes des services publics – par exemple les usines hydroélectriques et les installations connexes comme les barrages – pourrait causer de graves dommages à l’environnement, ainsi que d’importants dérèglements dans les transactions commerciales et la production industrielle. L’infrastructure essentielle d’un pays pourrait être la cible d’attaques de groupes terroristes basés dans ce pays même ou à l’étranger, ou encore de gouvernements étrangers ou d’éléments criminels.  Les perturbations majeures attribuables à certains incidents de piraterie informatique récents pourraient bien n’être qu’un petit échantillon des retombées que pourrait avoir un effort concerté pour paralyser l’infrastructure essentielle d’un pays en s’attaquant à ses systèmes informatiques.  Dans un avenir relativement rapproché, la possibilité de lancer des opérations tant offensives que défensives dans le domaine de la technologie informatique pourrait devenir un élément de plus en plus important de la capacité des pays à assurer leur sécurité, mais cette perspective soulève des questions morales complexes dont nous commençons tout juste à débattre.

INTÉRÊT ACCRU DES ÉTATS-UNIS

Les cercles gouvernementaux et militaires se préoccupent cependant déjà des répercussions que pourraient avoir une poignée d’attaques isolées visant l’infrastructure essentielle d’un pays.  Les États-Unis, en particulier, ont consacré des efforts et des ressources considérables à diverses mesures visant à renforcer leur capacité de faire face à des attaques de ce genre.  En effet, à la fin des années 90, les Américains ont pris conscience du fait que, malgré toute leur puissance militaire, ils demeuraient très vulnérables à ce qu’on a appelé les menaces asymétriques.  Plutôt que d’affronter directement les forces armées américaines, des États ou des groupes hostiles aux États-Unis pourraient lancer des attaques terroristes contre l’infrastructure essentielle de ce pays afin de ralentir son économie et de terroriser sa population.  Pour que leurs actes aient encore plus d’effets sur les populations civiles, ces États et groupes hostiles pourraient également lancer des attaques terroristes à l’aide d’armes de destruction massive (ADM) comme de petites bombes nucléaires, ou encore des agents chimiques ou biologiques.  C’est pourquoi, parallèlement aux mesures prises pour protéger leurs systèmes informatiques essentiels, les Américains ont également renforcé leur capacité de faire face aux conséquences d’attaques terroristes perpétrées à l’aide d’armes de destruction massive.

Étant donné l’importance accordée à la protection de la population et de l’infrastructure sur le territoire des États-Unis, les mesures prises par le gouvernement américain pour contrer ces menaces asymétriques sont souvent associées à ce qu’on appelle la défense intérieure.  Celle-ci s’articule surtout autour de deux directives présidentielles datant de 1998, la PDD-62, qui visait à fournir à la police civile, aux médecins et à certaines unités militaires de meilleurs moyens pour faire face aux conséquences de l’utilisation d’ADM, et la PDD-63, qui avait pour but d’améliorer la coordination des divers organismes s’occupant de la protection des systèmes de technologie de l’information.  Il s’agit notamment du National Infrastructure Protection Centre (NIPC) – qui relève du Federal Bureau of Investigation (FBI) et qui est le point central de tout ce qui touche l’évaluation de la menace, les mises en garde, les enquêtes et les réactions à la menace ou aux attaques contre l’infrastructure essentielle – et du Critical Infrastructure Assurance Office (CIAO) – qui fait partie du département du Commerce et qui coordonne les initiatives du gouvernement américain.  Le U.S. Space Command a été chargé pour sa part d’orchestrer les mesures de protection des systèmes informatiques militaires.  Le processus complexe de collaboration  entre organismes dans le domaine des systèmes informatiques est décrit dans le plan national pour la protection des systèmes de technologie de l’information que le gouvernement américain a rendu public en janvier 2000.  La nouvelle administration Bush accorde elle aussi une grande importance à la protection de l’infrastructure essentielle, et elle a annoncé son intention de produire une nouvelle version de ce plan national d’ici la fin de 2001.

La protection de l’infrastructure essentielle est nécessairement complexe parce qu’elle englobe non seulement des éléments gouvernementaux et militaires, mais également des intérêts privés.  En fait, les systèmes gouvernementaux et militaires ne représentent qu’une portion relativement minime de l’infrastructure essentielle des États-Unis, comparativement aux nombreux systèmes appartenant à des intérêts privés, et exploités par eux, dans les secteurs des banques, du commerce et des services publics.  Une partie des efforts déployés par le gouvernement américain pour protéger cette infrastructure nécessite par conséquent une étroite collaboration avec le secteur privé, dans le but de faire prendre conscience des enjeux et d’améliorer la coordination des mesures visant à contrer la menace de cyberattaques dans les entreprises et les organismes gouvernementaux. Cependant, l’interconnexion des systèmes informatiques ne prend pas fin aux frontières, et la coopération des autres pays est également indispensable à la protection de l’infrastructure essentielle.

LES INITIATIVES CANADIENNES

D’ailleurs, comme nous l’avons déjà vu à maintes reprises, la piraterie informatique et les autres types de cyberattaques contre des systèmes américains peuvent avoir de graves répercussions sur l’infrastructure essentielle de nombreux autres pays. Les systèmes bancaires, commerciaux et gouvernementaux du monde entier étant étroitement liés, rares sont les pays qui peuvent se permettre de négliger les préparatifs nécessaires pour réagir aux conséquences de perturbations délibérées ou accidentelles dans ce domaine.  C’est ainsi que le premier ministre Jean Chrétien a annoncé en février 2001 la création, à l’intérieur du ministère de la Défense nationale, du Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC), chargé d’élaborer et de mettre en oeuvre une politique globale de protection de l’infrastructure essentielle du Canada.  Ce nouvel organisme a hérité des fonctions qu’assumait anciennement Protection civile Canada, puisqu’il pourrait avoir à s’occuper des conséquences de perturbations dans la surveillance des systèmes informatiques ou dans l’exploitation des éléments physiques de l’infrastructure essentielle, par exemple les barrages hydroélectriques et les oléoducs.  Ses services de protection civile devront également poursuivre des activités de planification et d’intervention en cas de catastrophes naturelles et d’autres situations qui n’auraient rien à voir avec des cyberattaques, comme le faisait Protection civile Canada dans le passé.  De fait, il faudra sans aucun doute maintenir un haut niveau de préparation, ne serait-ce qu’à cause de l’augmentation possible du nombre de crises météorologiques attribuables aux changements climatiques.  Cependant, la création de ce nouvel organisme vise également à renforcer la protection de l’infrastructure essentielle du Canada à la lumière de ce qui se fait aux États-Unis et dans d’autres pays.  L’éventualité de cyberattaques ne représente peut-être pas une menace aussi grave pour le Canada que pour les États-Unis, qui constituent la principale cible d’un certain nombre d’États hostiles à travers le monde.  Le Canada ne peut cependant pas se permettre de prendre trop de retard sur ses alliés, pour la protection de son infrastructure essentielle, puisqu’il est toujours possible que des groupes terroristes lancent depuis le Canada des attaques terroristes contre les États-Unis.  En outre, le Canada pourrait subir des dommages collatéraux résultant d’attaques perpétrées contre les États-Unis par des moyens informatiques ou à l’aide d’ADM, quelle que soit la voie choisie pour ce faire par les États et groupes qui leur sont hostiles.

Néanmoins, et malgré la création du BPIEPC, le Solliciteur général demeure le principal ministre chargé de la sécurité publique au Canada.  En fait, en tant que ministre responsable du BPIEPC, le ministre de la Défense nationale travaillera en étroite collaboration avec lui, ainsi qu’avec d’autres ministres, pour assurer la mise en oeuvre d’une approche nationale cohérente et globale pour la protection de l’infrastructure essentielle et la protection civile.  Le nouvel organisme ne sera donc pas chargé d’effectuer ou de coordonner le travail du Service canadien du renseignement de sécurité (SCRS) et de la GRC en ce qui concerne l’évaluation de la menace terroriste et les mesures à prendre pour y répondre.  Il collaborera plutôt avec eux et se fondera sur leurs évaluations de la menace potentielle, comme l’a indiqué Margaret Purdy, la sous-ministre déléguée de la Défense nationale qui est responsable du BPIEPC au sein du Ministère, lors de sa comparution devant le Comité permanent de la défense nationale et des anciens combattants de la Chambre des communes le 29 mai 2001.  Le Bureau bénéficiera également du travail courant des organisations chargées de la protection des systèmes informatiques militaires et gouvernementaux au ministère de la Défense nationale.  Il s’agit notamment du Centre de la sécurité des télécommunications (CST), qui conseille les ministères sur la sécurité des réseaux en fournissant par exemple des services de soutien en matière d’évaluation du risque.

Cependant, comme aux États-Unis, la sécurité des systèmes informatiques militaires et de ceux du gouvernement fédéral n’est qu’un élément de la protection de l’infrastructure essentielle.  Après tout, comme l’a fait remarquer le ministre de la Défense nationale dans le discours qu’il a prononcé le 26 juin 2001 à l’occasion de la Conférence mondiale sur la gestion des opérations en cas de catastrophe qui s’est tenue à Hamilton (Ontario), le gouvernement fédéral ne possède et n’exploite qu’environ 10 p. 100 de l’infrastructure essentielle du pays.  Bien que les propriétaires et exploitants privés aient mis au point leurs propres programmes de sécurité en matière de technologie de l’information, il reste énormément de travail à faire pour améliorer la coopération à ce chapitre, par exemple les échanges d’information entre les responsables publics et privés de l’infrastructure essentielle du Canada.  Par conséquent, dans ses efforts pour élaborer un cadre national de protection de l’infrastructure essentielle, le BPIEPC cherchera non seulement à améliorer la protection des systèmes informatiques du gouvernement fédéral, mais également à mettre en place des partenariats avec les propriétaires et exploitants privés et avec les organisations d’affaires comme la Chambre de commerce du Canada et l’Association des banquiers canadiens.  Toutefois, même si la protection des systèmes informatiques canadiens contre les perturbations intentionnelles est maintenue à un haut niveau, le pays pourrait toujours avoir à faire face à des catastrophes naturelles majeures; il ne peut donc pas se permettre de négliger sa planification d’urgence.  C’est pourquoi le ministre de la Défense nationale a aussi annoncé, le 26 juin 2001, que le gouvernement du Canada entreprendra, sous la direction du BPIEPC, des consultations avec les provinces et territoires et avec le secteur privé afin d’établir une stratégie nationale d’atténuation des catastrophes visant à sauver des vies et à limiter les conséquences des catastrophes.

En fait, les efforts déployés pour protéger les systèmes informatiques et pour améliorer la planification d’urgence s’inscrivent dans une nouvelle prise de conscience, avec les années, du fait que la sécurité d’un pays ne dépend pas uniquement de sa capacité à se défendre contre des attaques militaires étrangères.  Un pays qui ne serait pas bien équipé pour contrer la menace terroriste et pour atténuer les effets des grandes catastrophes naturelles pourrait connaître de graves bouleversements économiques et sociaux susceptibles de mettre sa sécurité en danger.  Par conséquent, la protection de l’infrastructure essentielle demeurera sans doute une préoccupation majeure du gouvernement canadien pendant un certain temps encore, d’autant plus qu’il reste encore énormément de travail à faire pour établir une collaboration plus étroite entre les secteurs public et privé.