Les espions électroniques du Canada ont négligé « plusieurs lacunes » dans la façon dont ils mènent leurs activités en ligne, selon une nouvelle étude réalisée par l’un des organismes de surveillance du renseignement du pays.
L’Agence de surveillance de la sécurité nationale et du renseignement (NSIRA) a publié mardi un rapport à la suite de son enquête sur la façon dont le Centre de la sécurité des télécommunications (CST), utilisant les pouvoirs relativement nouveaux qui lui ont été conférés en 2019, mène des cyberopérations actives et défensives.
Les opérations défensives visent à empêcher les cybermenaces étrangères de nuire aux réseaux du gouvernement fédéral ou à d’autres systèmes canadiens importants, comme les réseaux électriques.
Les opérations actives permettent au CST de limiter la capacité d’un adversaire de nuire aux relations internationales, à la défense ou à la sécurité du Canada. À titre d’exemple d’opération active, l’agence cite le fait d’empêcher un groupe terroriste étranger de communiquer ou de planifier des attaques en désactivant ses appareils de communication.
La NSIRA, l’organisme de surveillance chargé de surveiller les activités du secteur canadien de la sécurité nationale et du renseignement, affirme dans son dernier rapport qu’elle souhaitait évaluer si le CST tenait compte de manière appropriée de ses obligations légales et des impacts de ses premières opérations sur la politique étrangère. Il a également examiné le rôle d’Affaires mondiales Canada (AMC) dans l’autorisation des opérations.
L’organisme d’examen a félicité le CST pour avoir mis en place une structure globale pour administrer les nouveaux pouvoirs, mais a conclu que « le CSE et le GAC n’ont pas suffisamment pris en compte plusieurs lacunes ».
« Les lacunes observées par la NSIRA sont celles qui, si elles ne sont pas comblées, pourraient comporter des risques », indique le rapport fortement expurgé.
Afin de mener une cyberopération, le CST a besoin que le ministre de la Défense délivre une autorisation ministérielle. Cela nécessite la consultation ou le consentement du ministre des Affaires étrangères, selon la nature de l’opération.
La NSIRA, composée de personnes possédant une expertise en matière de sécurité nationale, de politique, de technologie, de droit, de libertés civiles et de droits de la personne, a constaté que les demandes du CST n’offrent pas suffisamment de détails pour donner aux ministres une idée de la portée de leurs plans.
« Il est important que le CST ne mène pas d’activités qui n’ont pas été envisagées ou autorisées par le ministre de la Défense nationale ou par le ministre des Affaires étrangères », indique le rapport.
Le droit du cyberespace évolue et nécessite une attention particulière : NSIRA
L’organisme d’examen s’est également demandé comment le CST justifiait certaines de ses demandes.
Le rapport indique que les opérations sont censées « s’aligner sur la politique étrangère du Canada et répondre aux priorités en matière de sécurité nationale, de politique étrangère et de défense telles qu’articulées par le gouvernement du Canada ». Mais la NSIRA a déclaré qu’en approfondissant son examen, « il est apparu que le CST confirme la conformité à ces exigences avec une déclaration selon laquelle l’autorisation ministérielle répond aux priorités plus larges du gouvernement du Canada, sans aucune précision sur la manière dont ces priorités sont respectées ».
L’organisme d’examen a également exprimé des inquiétudes quant à la manière dont le CST et GAC tiennent compte des obligations internationales du Canada lorsqu’ils approuvent des opérations en ligne. L’examen a révélé que les deux ministères n’ont pas trouvé de moyen d’évaluer si de telles opérations sont conformes aux obligations du Canada en vertu du droit international.
« L’NSIRA note que le droit international dans le cyberespace est un domaine en développement et reconnaît que le Canada et d’autres États continuent de développer et d’affiner leur analyse juridique dans ce domaine », indique le rapport.
“[Active and defensive] les activités menées sans une évaluation approfondie et documentée de la conformité d’une opération au droit international créeraient des risques juridiques importants pour le Canada si une opération viole le droit international.
L’organisme de surveillance du renseignement affirme qu’il donnera suite à certaines de ses préoccupations tout en continuant d’examiner les opérations en ligne du CST.
