13 mars 2014 par Jacques N. Godbout – 45eNord.ca
Des couriels de conseillers militaires travaillant sur le dossier de la cybersécurité ont mis en garde il y a un an que, si la tendance se maintient, les Forces canadiennes n’auraient bientôt plus qu’un rôle mineur à jouer en la matière, rapporte cette semaine le journaliste Jordan Press du Ottawa Citizen.
Dans échange de courriels datant du 5 mars 2013, révèle le quotidien de la capitale fédérale, un officier des Forces canadiennes soutient que, non seulement les Forces armées et la Défense n’avaient pas « poussé assez fort » pour être l’organisme responsable de la cybersécurité au Canada, mais prévient que, si elles ne « poussent pas plus fort » , elles pourraient même se retrouver totalement exclues de ce dossier.
Cette question du rôle les Forces canadiennes devraient jouer dans la protection du pays dans le cyberespace a été débattue pendant des années et ces courriels donnent un aperçu sur la façon dont les militaires canadiens sont toujours aux prises avec cette question de leur place dans la stratégie de cybersécurité du Canada .
Au Canada, c’est le ministère de la Sécurité publique Canada qui est le premier responsable de la politique de cybersécurité et qui collabore en la matière avec les provinces , les territoires , les municipalités et le secteur privé pour les aider à protéger leurs réseaux . Le Centre de la sécurité des télécommunications Canada (CSTC), qui compte parmi les ressources informatiques les plus puissants du pays, est chargé pour sa part de défendre les systèmes du gouvernement fédéral et de la collecte de renseignements étrangers sur les cybermenaces potentielles .
Le Canada, note Jordan Press dans le « Ottawa Citizen« , fait d’ailleurs face à un nombre toujours croissant de cyber-attaques sur une base quotidienne venant de « hackers » (pirates) indépendants et de pays étrangers qui tentent d’accéder à des réseaux gouvernementaux. L’attaque réussie la plus connue a eu lieu en 2011 lorsque des pirates, à partir d’ordinateurs en Chine, ont pénétré les réseaux du Conseil du Trésor et du ministère des Finances .
Lorsque la stratégie fédérale en matière de cybersécurité a été publié en 2010,les décideurs prévoyaient certain niveau d’intégration entre le militaire et le CSTC: l’expertise technique serait du ressort du CSTC et l’expertise opérationnelle de celle des Forces armées.
Mais il n’en pas été ainsi: certains experts ont affirmé alors que ça n’avait pas de sens d’un point de vue financier d’avoir deux organismes – la Défense et le CSTC- pour jouer le même rôle. Actuellement, les Forces Armées n’ont pas le mandat législatif, le budget, ou les ressources pour faire le travail que CSTC est en mesure d’effectuer, déclaré Christian Leuprecht, un expert de la défense du Collège militaire royal, cité par le quotidien d’Ottawa.
« Tout comme le pays n’utilise pas l’armée pour vérifier les passeports et faire la sécurité dans les aéroports, la responsabilité des questions de cybersécurité intérieure devrait rester au ministère de la Sécurité publique », dit Chistian Leuprecht.
« Nous ne voulons pas de militariser la cybersécurité plus que nécessaire », déclare l’expert du Collège militaire royal. « Gardons cela comme un problème de sécurité plutôt que d’en faire un problème de défense , mais soyons prêts à en faire un problème de défense « .
Ce n’est toutefois pas pas la façon dont la question est traitée dans d’autres pays . Les États-Unis ont combiné les capacités offensives de l’armée avec les responsabilités défensives de la National Security Agency (NSA) sous l’égide de Cyber commandement américain, dirigé par le général Keith Alexander qui sera bientôt remplacé par un autre militaire, le vice-amiral Michael Rogers, qui dirigera à la fois le Cyber Command et et la NSA.
Un ancien chef du CSTC a déclaré que le modèle américain pourrait être envisagé ici.
« C’est un modèle qui a du sens » a déclaré John Adams maintenant chercheur à l’Université Queen, cité par le journaliste du Citizen: » La défense des systèmes … continuera d’être du ressort du CSTC, mais il est clair qu’il y aurait de la place pour intégrer plus de militaires au CSTC, comme l’ont fait les Américains ».
Les e-mails internes dont parle le quotidien d’Ottawa révèlent que les Forces armées ont recommandé un rôle plus important pour les militaires alors que le gouvernement était en train de finaliser sa stratégie de cybersécurité, il y a environ cinq ans .
Mais des années d’ « approche conciliante » avec la Direction nationale de la cybersecurité intérieure au ministère de la Sécurité publique « nous arrivés à la situation actuelle », écrit le major PJ Kendall dans un courriel adressé à ses collègues.
« Quatre années de coexistence pacifique et de déferrence à la Direction nationale de la cybersécurité « nous a conduit ;a perdre du terrain et à ce que que notre partenaire stratégique soit désormais le seul chef de file reconnu pour faire face à des cyberattaques contre le pays », écrit le major. « Mon expérience me dit que si vous continuez dans cette voie, les Forces armées canadiennes et le ministère de la Défense n’auront bientôt plus aucun rôle à jouer dans les opérations de cybersécurité ».
La réponse de son collègue, le colonel André A. Boucher, à ce courriel indique cependant que la décision il y a cinq ans de ne pas confier aux Forces canadiennes la responsabilité de la cyber-sécurité n’était pas une « intention délibérée de marginaliser » les militaires, mais plutôt le résultat d’un «manque de maturité et de compréhension » du dossier de la part des fonctionnaires du gouvernement.
«Je n’ai pas de boule de cristal, mais je suis convaincu que si le cyberespace est universellement reconnu comme un -environnement- à l’avenir, le rôle et les responsabilités de la Défense et des Forces Armées suivront selon un modèle similaire au traitement d’autres environnements».
Quoiqu’il en soit, le rôle des Forces armés et de la Défense dans la stratégie de cybersécurité se limite pour l’instant à « défendre ses propres réseaux, travailler avec d’autres ministères pour identifier les menaces et les réponses possibles , et continuer à échanger des informations sur les meilleures cyberpratiques avec les forces alliées «