2024 — Rapports 5 à 7 de la vérificatrice générale du Canada au Parlement du Canada Rapport de l’auditeur indépendantRapport 7 — La lutte contre la cybercriminalité

2024 — Rapports 5 à 7 de la vérificatrice générale du Canada au Parlement du Canada

Rapport 7 — La lutte contre la cybercriminalité

Rapport 7 — La lutte contre la cybercriminalité

Survol

Dans l’ensemble, la Gendarmerie royale du Canada (GRC), le Centre de la sécurité des télécommunications Canada et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) n’avaient ni la capacité ni les outils requis pour appliquer efficacement les lois visant à protéger la population canadienne contre les cyberattaques ou pour s’attaquer à la quantité croissante de cybercrimes, qui deviennent de plus en plus sophistiqués. Nous avons constaté des lacunes dans les interventions, la coordination, les mesures d’application de la loi, le suivi et l’analyse au sein des organisations chargées de protéger la population canadienne contre les cybercrimes, et entre ces organisations.

En 2022, des victimes de fraude ont signalé des pertes financières totalisant 531 millions de dollars au Centre antifraude du Canada. Les trois quarts de ces signalements étaient liés à la cybercriminalité. Le Centre estime que seulement 5 % à 10 % des cybercrimes sont signalés. Sans intervention rapide, les pertes financières et de renseignements personnels ne feront que croître à mesure que la cybercriminalité et les cyberattaques continueront d’augmenter.

Pour lutter efficacement contre la cybercriminalité, il faut veiller à ce que les signalements soient acheminés aux organisations les mieux placées pour les recevoir. Ces organisations doivent donner suite aux signalements reçus pour aider à protéger la population canadienne contre les risques de pertes financières et d’autres préjudices. Même si la GRC, le Centre de la sécurité des télécommunications Canada et Sécurité publique Canada ont discuté de la mise en place d’un guichet unique où les particuliers canadiens pourraient signaler les incidents de cybercriminalité, un tel guichet n’a pas encore été mis en place. Selon le système actuel, les personnes sont laissées à elles‑mêmes pour déterminer où faire un signalement, ou elles peuvent se faire demander de signaler ce même incident à une autre organisation. Par exemple, entre 2021 et 2023, le Centre de la sécurité des télécommunications Canada a jugé que près de la moitié des 10 850 signalements reçus ne relevaient pas de son mandat puisqu’ils visaient des particuliers et non des organisations canadiennes. Toutefois, il n’avait pas répondu à bon nombre de ces particuliers pour leur dire de signaler l’incident à une autre organisation.

En général, nous avons constaté que la main‑d’œuvre en cybersécurité du Canada devait être renforcée au sein de toutes les organisations. Par exemple, la GRC a eu de la difficulté à pourvoir les postes au sein de ses équipes d’enquête en cybercriminalité. Nous avons estimé qu’en date de janvier 2024, près du tiers des postes au sein de l’ensemble des équipes étaient vacants. À notre avis, avoir un plan pour réduire les lacunes en ressources humaines dans l’ensemble des organisations responsables est une composante importante d’une Stratégie nationale de cybersécurité renouvelée.

La GRC avait aussi accusé des retards dans la mise en place de sa Solution nationale en matière de cybercriminalité, un système de technologie de l’information visant à faciliter le signalement des cybercrimes par les victimes, à fournir une base de données commune sur la cybercriminalité à l’intention des organismes d’application de la loi canadiens et à permettre la vérification du recoupement entre des échantillons de logiciels malveillants nationaux et internationaux.

  Les constatations et les données clés

  • La GRC, par l’entremise de son Centre national de coordination en cybercriminalité, a établi des partenariats entre les forces de l’ordre canadiennes et internationales pour comprendre les besoins de ses organismes et assurer la coordination des efforts. Toutefois, elle n’avait pas toujours acheminé aux services policiers nationaux les demandes d’information qu’elle recevait de partenaires internationaux.
  • La GRC et le Centre de la sécurité des télécommunications Canada coordonnaient souvent bien leurs interventions à l’égard de cas hautement prioritaires, comme les attaques sur des systèmes du gouvernement du Canada ou des infrastructures essentielles.
  • Dans un signalement concernant une offre de vente de matériel d’exploitation sexuelle d’enfants, le CRTC n’a pas transféré le signalement aux forces de l’ordre; il a plutôt dit à la personne ayant signalé l’incident de communiquer directement avec les forces de l’ordre.
  • Dans un cas, afin d’éviter de faire l’objet d’un mandat de perquisition par un organisme d’application de la loi, le CRTC a supprimé des éléments probants et a retourné des appareils électroniques dans des délais accélérés à une personne faisant l’objet d’une enquête pour infraction à la loi anti‑pourriel.
  • La Stratégie nationale de cybersécurité établie par Sécurité publique Canada comportait de graves lacunes, notamment l’absence du CRTC à titre d’acteur clé, malgré le mandat de cet organisme consistant à faire appliquer la Loi canadienne anti‑pourriel, qui est directement lié à la cybercriminalité.

  Pourquoi avons-nous effectué cet audit?

  • Les particuliers, les entreprises, les institutions et les infrastructures du Canada continueront d’être la cible de cybercriminelles et de cybercriminels.
  • Lutter efficacement contre la cybercriminalité, il faut que les signalements d’incidents soient transmis aux organisations les mieux outillées pour les recevoir et que ces organisations donnent suite aux signalements, pour ainsi protéger la population canadienne contre le risque de perte financière et d’autres préjudices.
  • Pour lutter contre la cybercriminalité, il faut une approche coordonnée entre les entités fédérales, les gouvernements provinciaux, les administrations municipales et le secteur privé.

  Aperçu de nos recommandations

  • Le Centre national de coordination en cybercriminalité de la GRC devrait établir des procédures pour cerner les avis aux victimes les plus urgents et s’assurer qu’ils sont envoyés en premier. Le Centre devrait définir des attentes officielles sur la rapidité avec laquelle les avis aux victimes doivent être envoyés, évaluer le rendement par rapport à ces normes et veiller au respect de celles‑ci.
  • Sécurité publique Canada, la GRC, le Centre de la sécurité des télécommunications Canada et le Conseil de la radiodiffusion et des télécommunications canadiennes devraient collaborer pour veiller à ce que les cybercrimes signalés par les particuliers et les entreprises canadiennes soient acheminés à l’organisation dotée du mandat en la matière.

Consultez le rapport intégral pour lire toutes nos observations, analyses, recommandations et les réponses des entités auditées.

Visuels choisis

Les organisations fédérales dotées de responsabilités en matière de cybercriminalité
Diagramme de cheminement illustrant le lien entre les différentes organisations fédérales dotées de responsabilités en matière de cybercriminalité

Source : D’après des renseignements fournis par la Gendarmerie royale du Canada, le Centre de la sécurité des télécommunications Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes et Sécurité publique Canada

Version textuelle

Ce diagramme de cheminement présente les différentes organisations fédérales dotées de responsabilités en matière de cybercriminalité et les façons dont elles sont reliées.

La plus grande branche du diagramme se trouve sous la Gendarmerie royale du Canada (la GRC), qui est l’organisation fédérale responsable au premier chef de la lutte contre la cybercriminalité et les enquêtes criminelles relevant de son service de police fédérale.

Sous la GRC sont présentées les organisations suivantes :

  • le Centre antifraude du Canada, qui aide la population et les entreprises canadiennes à signaler les incidents de fraude, recueille des renseignements sur la fraude partout au Canada et aide les services policiers dans leurs efforts d’application de la loi et de prévention de la fraude;
  • le Centre national de coordination en cybercriminalité, qui collabore avec les forces de l’ordre et d’autres partenaires pour aider à réduire la menace et l’incidence de la cybercriminalité ciblant les entreprises canadiennes;
  • les services de police fédérale, qui s’emploie à protéger le Canada et la population canadienne contre les menaces criminelles nationales et internationales et contre la cybercriminalité.

Sous les services de police fédérale se trouve le Groupe de lutte contre la cybercriminalité, qui mène des enquêtes sur les cybermenaces les plus importantes qui ciblent le gouvernement fédéral, les infrastructures essentielles nationales et les biens organisationnels clés.

La prochaine branche est sous le Centre de la sécurité des télécommunications Canada, l’organisme national de renseignement étranger et l’autorité technique chargée d’offrir du soutien et des conseils dans le domaine de la cybersécurité.

Sous ce Centre se trouve le Centre canadien pour la cybersécurité, qui est chargé de défendre le réseau du gouvernement fédéral. Il fournit des conseils et une assistance à d’autres ordres de gouvernement ainsi qu’aux exploitants d’infrastructures essentielles du Canada, comme les banques et les entreprises de télécommunications. Il offre aussi du soutien aux entreprises canadiennes.

Enfin, il y a le Conseil de la radiodiffusion et des télécommunications canadiennes et Sécurité publique Canada.

Le Conseil de la radiodiffusion et des télécommunications canadiennes est chargé de veiller à l’application de la Loi canadienne anti‑pourriel dans le but d’assurer un marché en ligne plus sûr et sécuritaire et de réduire les effets nuisibles des pourriels et des menaces connexes sur la population canadienne.

Sécurité publique Canada sert de carrefour centralisé pour la coordination des politiques fédérales dans divers secteurs, y compris la cybercriminalité et la cybersécurité.

Le Centre national de coordination en cybercriminalité de la GRC a envoyé la majorité de ses avis aux victimes dans un délai d’une journée dans les 37 cas que nous avons examinés.
Le Centre national de coordination en cybercriminalité de la GRC a envoyé la majorité de ses avis aux victimes dans un délai d’une journée dans les 37 cas que nous avons examinés.
Délai Nombre d’avis aux victimes Pourcentage d’avis aux victimes
1 jour 26 sur 37 70 %
Entre 2 et 27 jours 9 sur 37 24 %
AutreNote * 2 sur 37 6 %
Signalement public de cybercrimes potentiels et d’autres menaces en ligne au Canada
Liste de moyens dont les cybercrimes et autres menaces en ligne peuvent être signalés

Source : D’après des renseignements fournis par le Centre canadien pour la cybersécurité et le Commissariat à la protection de la vie privée du Canada

Version textuelle

La liste montre les moyens à la disposition du public pour signaler des cybercrimes et d’autres menaces en ligne. Ces moyens sont présentés selon les organisations visées par l’audit et celles qui ne le sont pas.

Les organisations suivantes sont visées par notre l’audit :

  • Les forces de l’ordre — Le public peut signaler des cybercrimes potentiels aux services de police municipaux ou provinciaux ou encore à la Police fédérale (c’est‑à‑dire à la Gendarmerie royale du Canada). Le seul organisme d’application de la loi visé par l’audit est la Police fédérale.
  • Le Centre antifraude du Canada de la Gendarmerie royale du Canada — Le public peut signaler des incidents potentiels de fraude ou de cybercriminalité, comme un vol d’identité ou des escroqueries.
  • Le Conseil de la radiodiffusion et des télécommunications canadiennes — Le public peut signaler les pourriels et les messages textes indésirables, notamment les messages indésirables qui facilitent la cybercriminalité.
  • Le Centre de la sécurité des télécommunications Canada — Les organisations comme les banques et les hôpitaux peuvent demander des conseils et une orientation en matière de cybersécurité par l’intermédiaire de son Centre canadien pour la cybersécurité, notamment lorsqu’elles ont été la cible d’un incident de cybercriminalité.

Les organisations suivantes ne sont pas visées par l’audit :

  • Le Bureau de la concurrence du Canada — Le public peut signaler des biens achetés en ligne qui ont fait l’objet d’indications trompeuses.
  • Le Commissariat à la protection de la vie privée du Canada — Le public peut signaler ses préoccupations en ce qui concerne la collecte d’adresses électroniques et les logiciels espions.
  • Cyberaide.ca — Le public peut transmettre des renseignements sur des cas d’exploitation et d’abus sexuels d’enfants en ligne.
  • Le Service canadien du renseignement de sécurité — Le public peut signaler ses préoccupations en matière de terrorisme, de prolifération d’armes de destruction massive, d’espionnage, d’ingérence étrangère ou de piratage informatique visant les infrastructures essentielles.

Infographie

Version textuelle

La lutte contre la cybercriminalité

Le Canada n’a ni la capacité ni les outils pour lutter contre la cybercriminalité.

Les cybercrimes au Canada :

  • l’hameçonnage;
  • les logiciels malveillants et les rançongiciels;
  • les cyberfraudes;
  • les vols d’identité.

Selon le Centre antifraude du Canada, des pertes de 531 millions de dollars ont été signalées par des victimes de fraude en 2022; 75 % de ces signalements étaient liés à la cybercriminalité, et de 90 % à 95 % des cybercrimes ne sont pas signalés.

Les particuliers peuvent signaler des cybercrimes à la Gendarmerie royale du Canada, au Centre canadien pour la cybersécurité, au Centre antifraude du Canada ou au Centre de notification des pourriels.

Entre 2021 et 2023, le Centre canadien pour la cybersécurité a reçu 10 850 signalements dont 1 300 étaient des cybercrimes potentiels se rapportant à des particuliers.

Entre 2022 et 2023, le Centre antifraude du Canada a reçu 87 000 signalements dont 28 000 étaient des cybercrimes potentiels se rapportant à des particuliers.

Entre 2022 et 2023, le Centre de notification des pourriels a reçu 335 000 signalements dont 75 000 étaient des cybercrimes potentiels se rapportant à des particuliers.

De nombreux signalements de cybercrimes potentiels n’ont pas été traités par ces organisations et n’ont pas été acheminés à une autre organisation, comme à la Gendarmerie royale du Canada, aux fins d’enquête possible.

Trois constatations principales ont été formulées :

  • Premièrement, le Centre de la sécurité des télécommunications Canada travaillait bien avec les autres. Il répondait efficacement aux incidents de cybercriminalité.
  • Deuxièmement, il y avait un manque de personnel. Au moins 30 % des postes au sein du Groupe de lutte contre la cybercriminalité de la Gendarmerie royale du Canada étaient vacants.
  • Troisièmement, il y avait des faiblesses dans la Stratégie nationale de cybersécurité. Le Conseil de la radiodiffusion et des télécommunications canadiennes n’était pas inclus dans la stratégie.

Le système actuel de signalement des incidents de cybercriminalité porte à confusion et ne donne pas la priorité aux besoins des particuliers.

Un guichet unique où les particuliers canadiens peuvent signaler des cybercrimes est grandement nécessaire.

Assurez la sécurité du Canada en signalant un cybercrime.

Information connexe