21 novembre 2022•Calcul en cours...

Exigences en matière de cybersécurité dans les infrastructures essentielles : comparaison entre le Canada et les États-Unis

Auteurs

Nic Wall
Christopher M. Caparelli
Molly Reynolds
Julie Himo
Alessandra (Ali) Harkness
H
Harleen Badwal

Les entreprises actives dans divers secteurs liés aux infrastructures essentielles, dont les télécommunications, les services financiers, l’énergie et le transport, doivent composer avec le défi constant de concilier leurs diverses obligations de conformité dans plusieurs territoires. Les obligations en matière de cybersécurité proposées et à venir au niveau fédéral tant au Canada qu’aux États-Unis en sont un dernier exemple.

Les deux pays ont en effet adopté des lois visant à protéger les infrastructures essentielles sous réglementation fédérale et à assurer la surveillance des incidents de cybersécurité touchant ces infrastructures, notamment en exigeant le signalement des incidents de cybersécurité hautement prioritaires. Dans cet article, nous comparons les exigences de signalement dans les deux pays pour aider les entreprises à rationaliser et à harmoniser leurs activités de conformité.

Ce que vous devez savoir

Dans le cadre de notre comparaison de la Loi sur la protection des cybersystèmes essentiels (LPCE), édictée dans un projet de loi, et de la Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) promulguée aux États-Unis, nous avons relevé plusieurs éléments importants :

Champ d’application. La LPCE s’applique à certains secteurs de compétence fédérale, soit les télécommunications, les services financiers, l’énergie et le transport. La CIRCIA vise ces secteurs, ainsi que les secteurs de la fabrication essentielle, des produits chimiques, des soins de santé et des technologies de l’information, entre autres.
Délai de signalement. En vertu de la LPCE, tout incident de cybersécurité visé doit être déclaré « sans délai », tandis que la CIRCIA exige le signalement d’un incident dans un délai de 72 heures et la déclaration du paiement d’une rançon dans les 24 heures.
Protection du secret professionnel. Contrairement à la LPCE, la CIRCIA prévoit que le signalement d’un incident ne constitue pas une renonciation au secret professionnel, à tout privilège ou à toute protection en matière de confidentialité qui pourrait s’appliquer aux renseignements fournis dans la déclaration.
Sanctions. La LPCE prévoit des sanctions pécuniaires maximales de 15 millions de dollars par violation; la CIRCIA ne mentionne actuellement aucune sanction pécuniaire en cas de non-conformité.

La LPCE

En juin 2022, la Chambre des communes a présenté le projet de loi C-26, qui édicte la LPCE et modifie d’autres lois, dont la Loi sur les télécommunications. Si elle est adoptée, la LPCE imposera de nouvelles obligations de conformité et de signalement des incidents à diverses entités du secteur privé sous réglementation fédérale.

À qui s’applique la LPCE?

La LPCE vise les « exploitants désignés » qui contrôlent ou exploitent un « cybersystème essentiel » ou en sont propriétaires, et dont les activités concernent les secteurs des télécommunications, des services financiers, de l’énergie et du transport. Bien que la version actuelle de la LPCE ne nomme précisément aucun « exploitant désigné », elle définit ce qui constitue un « cybersystème essentiel » : « Système de technologies, d’actifs, d’installations ou de services numériques interdépendants qui forment l’infrastructure servant à la réception, à la transmission, au traitement ou au stockage de données [...] dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique ».

Six services et systèmes critiques

La LPCE mentionne six services et systèmes critiques, dont les exploitants désignés devront respecter les exigences de la LPCE.

Service ou système critique	Organisme réglementaire
Services de télécommunication	Ministère de l’Industrie
Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux	Régie de l’énergie du Canada
Systèmes d’énergie nucléaire	Commission canadienne de sûreté nucléaire
Systèmes de transport relevant de la compétence législative du Parlement (transport des marchandises, ferroviaire et aérien)	Ministère des Transports
Systèmes bancaires	Bureau du surintendant des institutions financières
Systèmes de compensations et de règlements	Banque du Canada

La LPCE autorise le gouvernement fédéral à établir les catégories d’exploitants désignés qui contrôlent ou exploitent un service ou un système critique ou en sont propriétaires et qui sont ainsi assujettis à cette loi. La version actuelle de la LPCE ne précise pas les catégories d’exploitants désignés.

Par ailleurs, le gouvernement peut ajouter à la liste ci-dessus d’autres services et systèmes sous réglementation fédérale et étendre ainsi le nombre d’entités assujetties aux exigences de la LPCE.

La CIRCIA des États-Unis

La LPCE du gouvernement du Canada s’harmonise aux efforts du gouvernement américain en matière de réglementation de la sécurité des infrastructures essentielles. En mars 2022, le président Joe Biden a promulgué la loi intitulée CIRCIA.

Au titre de cette loi, les entreprises dans les secteurs des infrastructures essentielles sont tenues de signaler certains types de cyberincidents dans les 72 heures suivant leur découverte (ou dans les 24 heures suivant le paiement d’une rançon). La Cybersecurity and Infrastructure Security Agency (CISA) est un organisme fédéral qui relève du département de la Sécurité intérieure des États-Unis. La CISA s’efforce de comprendre et de réduire les risques pour les infrastructures physiques et informatiques aux États-Unis et est responsable de la mise en œuvre de la CIRCIA. Cet organisme doit présenter un projet de règlement d’application d’ici le 15 mars 2024 et le texte du règlement définitif au plus tard 18 mois après cette présentation.

À qui s’applique la CIRCIA?

Touchant un plus grand nombre de secteurs que la LPCE, la CIRCIA s’applique aux « entités visées » (« covered entities ») dans l’un des 16 secteurs d’infrastructures essentielles qui ont des motifs raisonnables de croire qu’un « cyberincident visé » (« covered cyber incident ») s’est produit. La définition précise de ces termes sera énoncée par la directrice de la CISA dans le cadre d’un processus réglementaire obligatoire. Cependant, les définitions figurant dans la CIRCIA donnent une idée de la portée des deux termes.

Les entités visées seront identifiées dans le secteur d’infrastructures essentielles correspondant (voir la liste des secteurs d’infrastructures essentielles ci-dessous). La CIRCIA fournit par ailleurs une définition du terme « incident », soit « [TRADUCTION] un événement qui compromet ou pourrait compromettre, sans autorisation légitime, un système d’information ou l’intégrité, la confidentialité ou la disponibilité des renseignements d’un système d’information ». Le terme « cyberincident visé » désigne quant à lui « [TRADUCTION] un cyberincident important subi par une entité visée qui correspond à la définition et aux critères établis par la directrice [de la CISA] ».

Seize secteurs d’infrastructures

Voici la liste des 16 secteurs d’infrastructures essentielles et des départements correspondants énumérés dans la Presidential Policy Directive 21 :

Secteur d’infrastructures essentielles	Département correspondant
Produits chimiques	Département de la Sécurité intérieure
Installations commerciales	Département de la Sécurité intérieure
Communications	Département de la Sécurité intérieure
Fabrication essentielle	Département de la Sécurité intérieure
Barrages	Département de la Sécurité intérieure
Industrie de la défense	Département de la Défense
Services d’urgence	Département de la Sécurité intérieure
Énergie	Département de l’Énergie
Services financiers	Département du Trésor
Agroalimentaire	Département de l’Agriculture et département de la Santé et des Services sociaux
Installations gouvernementales	Département de la Sécurité intérieure et Administration des services généraux
Soins de santé et santé publique	Département de la Santé et des Services sociaux
Technologies de l’information	Département de la Sécurité intérieure
Réacteurs, matières et déchets nucléaires	Département de la Sécurité intérieure
Systèmes de transport	Département de la Sécurité intérieure et département des Transports
Systèmes d’aqueduc et d’égouts	Agence pour la protection de l’environnement

Tableau comparatif : la LPCE du Canada et la CIRCIA des États-Unis

Voici les principales différences entre la loi canadienne et la loi américaine.

LPCE (Canada)	CIRCIA (US)
Incidents à signaler
Un incident de cybersécurité à signaler désigne, en ce qui concerne un cybersystème essentiel, tout incident, y compris un acte, une omission ou une situation, qui nuit ou peut nuire : soit à la continuité ou à la sécurité d’un service critique ou d’un système critique; soit à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel. Il importe de noter qu’un exploitant désigné doit aviser l’organisme réglementaire compétent de divers événements déterminants, par exemple un changement important relatif à la propriété, au contrôle ou au programme de cybersécurité de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers. Les délais fixés pour le signalement peuvent varier.	La CISA doit définir ce qui constitue un cyberincident visé. En sa version actuelle, la CIRCIA prévoit qu’un incident à signaler doit comprendre au moins l’un des éléments suivants : un accès non autorisé à un système d’information ou à un réseau qui porte atteinte à la confidentialité, à l’intégrité ou à la disponibilité de ce système d’information ou de ce réseau, ou qui a des répercussions graves sur la sécurité et la résilience des systèmes et processus opérationnels; une perturbation des activités d’exploitation ou industrielles en raison d’une attaque par déni de service ou par logiciel de rançon, ou de l’exploitation d’une vulnérabilité de jour zéro contre i) un système d’information ou un réseau; ii) un système ou procédé technologique d’exploitation; une perturbation des activités d’exploitation ou industrielles, ou un accès non autorisé à celles-ci, à la suite d’une perte de service facilitée ou causée par une atteinte à un fournisseur de services en nuage ou de services gérés ou à un fournisseur tiers d’hébergement de données, ou une attaque de la chaîne d’approvisionnement.
Contenu du rapport d’un incident de cybersécurité
Le contenu et les modalités de signalement seront énoncés dans les règlements. La LPCE indique que les exploitants désignés doivent déclarer tout incident de cybersécurité « dans le but de permettre au Centre [de la sécurité des télécommunications] d’exercer ses attributions ».	Il incombe à la CISA de déterminer le contenu des rapports d’incident de cybersécurité ou de paiement d’une rançon. En sa version actuelle, la CIRCIA indique que le rapport doit au moins contenir les éléments suivants : une description du cyberincident visé; une description des vulnérabilités qui ont été exploitées, des techniques et procédés employés par le ou les auteurs de l’attaque, et des moyens de défense qui étaient en place chez l’entité; tout renseignement permettant d’identifier l’auteur de l’attaque; la définition des catégories d’information auxquelles le ou les auteurs de l’attaque ont accédé; dans le cas d’une attaque par logiciel de rançon, les instructions et le type de versement demandé dans le cadre de la rançon, ainsi que la date et le montant du paiement de la rançon.
Délai de signalement et destinataire du rapport d’un incident de cybersécurité
Il incombe à tout exploitant désigné de déclarer sans délai tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications (CST), puis à l’organisme réglementaire compétent.	La CIRCIA comporte deux exigences de déclaration visant respectivement les cyberincidents visés et les paiements de rançon. Toute entité visée qui a des motifs raisonnables de croire qu’elle a subi un cyberincident visé doit en faire rapport au département de la Sécurité intérieure et à la CISA dans les 72 heures. Toute entité visée qui paie une rançon à la suite d’une attaque par logiciel de rançon doit signaler ce paiement au département de la Sécurité intérieure et à la CISA dans les 24 heures.
Exceptions aux exigences de signalement
S. O.	La CIRCIA prévoit une exception aux exigences de déclaration pour les entités qui sont déjà tenues, en vertu d’une loi, d’un règlement ou d’un contrat, de déclarer des renseignements essentiellement similaires à un organisme fédéral différent dans un délai semblable, pourvu qu’un accord existe entre la CISA et cet autre organisme.
Tenue de documents/conservation des données
Les exploitants désignés doivent conserver au Canada dans tout lieu désigné par règlement ou dans leur établissement des documents concernant ce qui suit : les mesures qu’ils ont prises pour mettre en œuvre le programme de cybersécurité; tout incident de cybersécurité qu’ils ont déclaré; les mesures qu’ils ont prises pour atténuer les risques associés à la chaîne d’approvisionnement ou aux tiers; les mesures qu’ils ont prises pour mettre en œuvre toute directive de cybersécurité; toute question précisée par règlement.	Les entités visées doivent conserver les données relatives aux cyberincidents visés ou aux paiements de rançon qu’elles déclarent. La CISA doit définir les types de données à conserver et la période de conservation de ces données.
Dispositions en matière de confidentialité
« Renseignements confidentiels » s’entend des renseignements qui sont obtenus sous le régime de la LPCE relativement à un cybersystème essentiel et qui portent sur une vulnérabilité de ce cybersystème ou dont la divulgation est susceptible d’avoir des répercussions importantes sur l’exploitant désigné. La loi interdit de manière générale la communication des renseignements confidentiels, sauf dans les cas suivants : la communication est exigée par la loi; les renseignements sont accessibles au public; l’exploitant désigné concerné y consent; la communication est nécessaire à toute fin liée à la protection des services critiques, des systèmes critiques ou des cybersystèmes essentiels; la communication est faite en conformité avec la LPCE ou la Loi sur la communication d’information ayant trait à la sécurité du Canada; la communication est faite en vertu d’un accord ou d’un arrangement entre un organisme réglementaire et une entité gouvernementale.	Les rapports qui décrivent un cyberincident visé ou le paiement d’une rançon sont confidentiels et ne constituent pas une renonciation au secret professionnel ou à toute protection applicable prévue par la loi concernant les renseignements qu’ils contiennent. Par ailleurs, ces rapports ne sont pas assujettis aux lois fédérales, étatiques ou locales sur l’accès à l’information qui pourraient obliger leur divulgation.
Pouvoirs de mise en application
Un organisme de réglementation peut entrer dans tout lieu s’il a des motifs raisonnables de croire qu’une activité régie par la LPCE y est exercée ou que s’y trouvent des objets, des documents ou des renseignements auxquels s’applique la LPCE. Dans ce cas, l’organisme de réglementation peut : examiner tout ce qui se trouve sur les lieux; utiliser ou voir à ce que soit utilisé tout cybersystème dans le but d’examiner notamment les renseignements qu’il contient ou auxquels il donne accès; établir ou faire établir tout document à partir de ces données; utiliser, directement ou indirectement, tout matériel de reproduction se trouvant dans le lieu; emporter tout document, registre ou cybersystème à des fins d’examen ou pour en faire des copies. De plus, l’organisme de réglementation peut ordonner à un exploitant désigné d’effectuer, selon des modalités précises, une vérification interne de la conformité à quelque disposition de la LPCE.	Si la CISA a des motifs de croire qu’une entité visée a subi un cyberincident visé ou payé une rançon sans signaler cet événement, elle peut demander des renseignements supplémentaires à cette entité pour déterminer si un tel incident ou paiement a eu lieu. Si l’entité visée ne répond pas à la demande de la CISA dans les 72 heures, celle-ci peut délivrer une citation à comparaître afin d’exiger la communication des renseignements qu’elle souhaite obtenir. En cas de non-respect de la citation à comparaître par l’entité visée, la CISA peut saisir le procureur général des États-Unis afin qu’il intente une poursuite civile pour faire respecter la citation.
Sanctions
La LPCE prévoit des sanctions administratives pécuniaires et des sanctions pénales pour les violations des dispositions législatives. Les deux types de sanctions visent la responsabilité des dirigeants et des administrateurs qui auraient ordonné ou autorisé la violation, ou qui y auraient consenti, acquiescé ou participé. Le montant des sanctions administratives pécuniaires applicables à chaque violation est plafonné à 1 M$ dans le cas d’une personne physique et à 15 M$ dans les autres cas. En outre, la violation de certaines dispositions de la LPCE constitue une infraction punissable. Une personne physique est passible d’un emprisonnement maximal de 2 ans sur déclaration de culpabilité par procédure sommaire ou de 5 ans sur déclaration de culpabilité par mise en accusation. Dans les deux types de condamnation, les particuliers et les sociétés sont passibles d’une amende dont le montant est fixé par le tribunal.	En cas de non-respect d’une citation à comparaître par l’entité visée, la CISA peut saisir le procureur général des États-Unis afin qu’il intente une poursuite civile. Le défaut de se conformer à une citation à comparaître constitue un outrage à magistrat passible de pénalité. D’autres détails sur la mise en œuvre des dispositions d’application devraient être élaborés et communiqués au cours du processus d’établissement de la réglementation.

Préparer votre entreprise à la LPCE/CIRCIA

Les deux régimes ne sont pas encore en vigueur, mais les entreprises susceptibles d’être assujetties à l’une de ces lois (ou aux deux) devraient examiner quatre questions dans une démarche proactive.

Au premier et plus immédiat chapitre, il existe probablement des possibilités de formuler des propositions et des commentaires pour défendre les intérêts sectoriels en ce qui concerne les exigences énoncées ci-dessus. Au Canada, ces propositions et commentaires pourraient concerner tout ce qui relève du champ d’application de la LPCE et des autres dispositions du projet de loi C-26, qui n’a pas encore été soumis à l’examen en comité. Aux États-Unis, la promotion des intérêts sectoriels et la formulation de commentaires relativement au processus réglementaire seront plus informelles, puisque la CISA a récemment conclu l’étape officielle des demandes d’information.

Deuxièmement, les entreprises canadiennes devraient porter une attention accrue à la façon dont elles protégeront les renseignements assujettis au secret professionnel de l’avocat, au privilège relatif au litige et à d’autres privilèges juridiques. La protection du secret professionnel et des privilèges pourrait s’avérer particulièrement difficile en cas d’incident de cybersécurité au Canada, compte tenu des pouvoirs d’application étendus (y compris les perquisitions et les saisies) accordés aux organismes de réglementation, des exigences de tenue de documents imposées aux exploitants désignés pour démontrer leur conformité et de l’obligation d’aviser le CST et l’organisme de réglementation compétent sans délai dès la découverte d’un incident de cybersécurité. Aux États-Unis, la CIRCIA indique que le signalement d’un incident ne constitue pas une renonciation à une protection ou à un privilège applicable prévu par la loi en ce qui concerne les renseignements contenus dans le rapport; toutefois, les entreprises doivent tout de même veiller à ne pas faire un excès de signalements. La possibilité de signaler un incident de sécurité sans renoncer à tout privilège applicable est un élément sur lequel pourraient porter les propositions et les commentaires sectoriels à l’égard du projet de loi C-26.

Troisièmement, les entreprises doivent envisager l’examen et la mise à jour de leur plan d’intervention en cas d’incident et de leur politique de cybersécurité en fonction des réformes susmentionnées. Tout examen actuel ou ultérieur devrait tenir compte des exigences de signalement et envisager la possibilité de rationaliser les processus d’avis à la CISA, au CST et aux autres organismes de réglementation concernés (en gardant à l’esprit que les rapports aux CST ne bénéficient d’aucune protection du secret professionnel ou au titre d’un privilège). Cet examen devrait également porter sur les risques liés à la chaîne d’approvisionnement et à des tiers, y compris les fournisseurs de services essentiels (en particulier les fournisseurs de services informatiques), les fournisseurs clés et les fabricants d’appareils ou de produits. Lorsque les gouvernements fourniront de plus amples renseignements, les entreprises devraient évaluer la possibilité d’isoler leurs « cybersystèmes essentiels » au Canada ou leurs systèmes informatiques qui pourraient être touchés par un « cyberincident visé » aux États-Unis, et se demander si ce partitionnement pourrait simplifier les activités de conformité.

Quatrièmement, les entreprises susceptibles d’être assujetties à ces réformes devraient examiner comment ces nouvelles exigences pourraient ou devraient avoir une incidence sur les relations avec d’autres parties. Tant les entreprises que les gouvernements ont tout à gagner d’une collaboration accrue à mesure que le rôle de la CISA, du CST et des autres organismes de réglementation évolue – en particulier si ces relations peuvent être mises à profit pour la communication volontaire de renseignements sur les menaces. Les entreprises doivent également se demander s’il faut tenir compte des nouvelles exigences lors de la conclusion de contrats de service avec des tiers. De même, les fournisseurs de services doivent s’attendre à des normes de cybersécurité de plus en plus strictes de la part des entités clientes réglementées, notamment lorsque les services fournis concernent des systèmes visés par la LPCE ou la CIRCIA.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant