Écrit par Sébastien Gittens, Stephen Burns, Ruth Promislow, Matthew Flynn and Kees de Ridder

Le 14 juin 2022, le ministre fédéral de la Sécurité publique, Marco Mendicino, a présenté Bill C-26, An Act Respecting Cyber Security (ARCS). Destiné à renforcer la cybersécurité des services essentiels et des systèmes vitaux, ce projet de loi exigera, entre autres, que diverses organisations sous réglementation fédérale prennent des mesures pour protéger leur cyberinfraie. Il peut s’agir, une fois que les annexes du SSR sont finalisées, des organisations fournissant :

• les services de télécommunication;
• les réseaux de pipelines et de lignes de transport d’électricité interprovinciaux ou internationaux;
• les systèmes d’énergie nucléaire;
• les réseaux de transport qui relèvent de la compétence législative du Parlement;
• les systèmes bancaires; et
• les systèmes de compensation et de règlement.

La partie 2 de l’ARCS édicterait la Critical Cyber Systems Protection Act (CCLT). Comme je l’ai dit, l’objectif de ce projet de loi est de « ... aider à protéger les cybersyst systèmes essentiels afin de soutenir la continuité et la sécurité des services essentiels et des systèmes vitaux en veillant, entre autres, à ce que:

1. tous les risques pour la cybersécurité liés aux cybersystèmes critiques sont cernés et gérés, y compris les risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et de services de tiers;
les
2. cybersyst systèmes essentiels sont protégés contre la compromission;
3. tout incident de cybersécurité affectant ou susceptible d’affecter les cybersyst systèmes critiques est détecté; et
4. les répercussions des incidents de cybersécurité touchant les cybersyst systèmes critiques sont réduites au minimum.

À cette fin, la LCPSCC exigerait qu’un « exploitant désigné » (c’est-à-dire une personne, une société de personnes ou une organisation non constituée en personne morale qui appartient à une catégorie d’exploitants mentionnée à l’annexe 2 de la LCPA) qui possède, contrôle ou exploite un cybersystème essentiel se conforme aux exigences de ce projet de loi en ce qui concerne ledit cybersystème essentiel. À titre de référence, un cybersyst système critique signifie « un cybersyst système qui, si sa confidentialité, son intégrité ou sa disponibilité étaient compromises, pourrait avoir une incidence sur la continuité ou la sécurité d’un service essentiel ou d’un système vital ».

Voici un résumé de certaines des exigences importantes de la LCPE :

Programme de cybersécurité

Un exploitant désigné sera tenu d’établir un programme de cybersécurité à l’égard de ses cybersyst systèmes essentiels et d’inclure dans le programme des mesures raisonnables pour :

1. identifier et gérer tous les risques organisationnels en matière de cybersécurité, y compris les risques associés à la chaîne d’approvisionnement de l’exploitant désigné et à son utilisation de produits et services de tiers;
2. protéger ses cybersyst systèmes critiques contre la compromission;
3. détecter tout incident de cybersécurité affectant ou pouvant affecter ses cybersyst systèmes critiques;
4. réduire au minimum l’impact des incidents de cybersécurité affectant les cybersyst systèmes critiques; et
5. faire tout ce qui est prescrit par le règlement.

Atténuation des risques liés à la chaîne d’approvisionnement et aux tiers

Dès que tout risque de cybersécurité associé à la chaîne d’approvisionnement de l’exploitant désigné ou à son utilisation de produits et services de tiers a été identifié dans le cadre de son programme de cybersécurité, l’exploitant désigné devra prendre des mesures raisonnables, y compris toute mesure prescrite par le règlement, pour atténuer ces risques.

Signalement des atteintes à la vie privée

Un exploitant désigné devra immédiatement signaler un incident de cybersécurité à l’égard de l’un de ses cybersystéments essentiels à : (i) au Centre de la sécurité des télécommunications; ainsi qu’à (ii) à son organisme de réglementation.

Renseignements confidentiels

Sous réserve de diverses exceptions, la LCPSC interdiront la divulgation de tout renseignement obtenu en vertu de cette loi à l’égard d’un cybersyst système critique qui : « a) concerne la vulnérabilité du cybersystérie essentiel d’un exploitant désigné ou des méthodes utilisées pour protéger ce système et qui est systématiquement traité comme confidentiel par l’exploitant désigné; b) s’il est divulgué, on peut raisonnablement s’attendre à ce qu’il entraîne une perte ou un gain financier important pour un exploitant désigné, ou on peut raisonnablement s’attendre à ce qu’il cause un préjudice à la position concurrentielle d’un exploitant désigné; ou c) s’il est divulgué, on pourrait raisonnablement s’attendre à ce qu’il interfère avec les négociations contractuelles ou autres d’un exploitant désigné.

Tenue de dossiers

Les exploitants désignés seront tenus de tenir des registres concernant :

1. toute mesure prise pour mettre en œuvre le programme de cybersécurité de l’exploitant désigné;
2. tout incident de cybersécurité que l’exploitant désigné a signalé en vertu de la LSPACC;
3. toute mesure prise par l’exploitant désigné pour atténuer certains risques liés à la chaîne d’approvisionnement ou à des tiers;
4. toute mesure prise par l’exploitant désigné pour mettre en œuvre une directive en matière de cybersécurité; et
5. toute matière prescrite par le règlement.

La pénalité imposée à un exploitant désigné ou à une autre personne qui contrevient à une disposition de la LCPE ou d’un règlement connexe peut atteindre 15 000 000 $ (ou un maximum de 1 000 000 $ pour un particulier). Si un exploitant désigné commet une violation, tout administrateur ou dirigeant de l’exploitant désigné qui a acquiescé à la commission de la violation ou qui y a participé peut être tenu responsable de la même façon, qu’une poursuite ait été intentée ou non contre l’exploitant désigné lui-même.

Étant donné que la LPSCC peut servir de modèle aux provinces et aux territoires pour sécuriser les cyberinfra infrastructures essentielles qui relèvent de leur compétence, les organisations canadiennes sont encouragées à surveiller le projet de loi C-26 à mesure qu’il progresse dans le processus législatif.

Si vous souhaitez en savoir plus sur la façon dont ce projet de loi peut affecter votre entreprise, nous vous invitons à contacter les auteurs de cet article de blog, ou les membres de notre Bennett Jones Cybersecurity group.