À l’issue de leurs délibérations, les comités peuvent faire des recommandations à la Chambre des communes ou au gouvernement et les inclure dans leurs rapports. Les recommandations relatives à la présente étude se trouvent énumérées ci-après.

Recommandation 1

Que le gouvernement du Canada mette en place une plateforme multilatérale permanente pour susciter la collaboration et l’engagement des divers intervenants en matière de cybersécurité. La plateforme devrait avoir des objectifs fondés sur ceux du programme Industry 100 du Royaume Uni. Elle devrait aussi former un espace collaboratif dans lequel les responsables de l’industrie et de la cybersécurité pourront se réunir pour échanger des informations et des pratiques exemplaires et établir des moyens de signaler les cyberattaques commises contre le secteur privé en vue d’améliorer le partage d’informations et de prévenir d’autres attaques.

Recommandation 2

Que le gouvernement du Canada investisse dans la cybersécurité de sa propre infrastructure réseau et évalue de façon exhaustive les mesures supplémentaires nécessaires pour renforcer les systèmes du gouvernement et l’infrastructure réseau des tierces parties qui hébergent ses données, afin d’assurer la sécurité de ses données critiques.

Recommandation 3

Que le gouvernement du Canada collabore avec ses partenaires du Groupe des cinq pour adopter une norme CMMC (Cybersecurity Maturity Model Certification) compatible avec celles de ses partenaires et reconnue par ces derniers afin d’éviter que l’utilisation d’une norme distincte au Canada ne défavorise les entreprises de l’industrie de défense canadienne par rapport à celles des autres pays membres du Groupe des cinq.

Recommandation 4

Que le gouvernement du Canada offre des incitations (p. ex. des crédits d’impôt) aux entreprises pour les encourager à adopter des mesures de cybersécurité, comme le programme de certification « CyberSécuritaire Canada » créé par ISED et le CST pour les petites et moyennes entreprises.

Recommandation 5

Que le gouvernement du Canada accélère le renouvellement de la stratégie nationale de cybersécurité du pays et qu’il soumette cette stratégie à un examen périodique pour pouvoir la mettre à jour au rythme de l’évolution des cybermenaces.

Recommandation 6

Que le gouvernement du Canada maintienne son dialogue avec les propriétaires et les exploitants d’infrastructures essentielles tels que les municipalités; les gouvernements provinciaux, territoriaux et autochtones; et les exploitants du secteur privé comme les sociétés de service public, et que ces efforts soient officialisés afin qu’il y ait un dialogue constant sur les menaces éventuelles et sur les bonnes pratiques.

Recommandation 7

Que le gouvernement du Canada examine la Loi sur le Service canadien du renseignement de sécurité pour s’assurer que le Service dispose des outils juridiques dont il a besoin pour s’adapter aux réalités modernes de l’ère numérique et pour suivre le rythme des progrès technologiques et de la perpétuelle évolution des menaces qui planent sur la cybersécurité au Canada.

Recommandation 8

Que le gouvernement du Canada collabore avec les provinces et l’industrie pour créer des exigences obligeant les exploitants d’infrastructures critiques du secteur privé à signaler les attaques par rançongiciel et les atteintes à la cybersécurité au Centre canadien pour la cybersécurité dans un délai donné; qu’il mette en place des mécanismes appropriés pour protéger les victimes de cyberattaques et, ainsi, atténuer ou éliminer les facteurs qui les dissuadent de signaler ces attaques; et que le gouvernement incite les propriétaires et les exploitants d’infrastructures critiques à coopérer avec les autorités compétentes pour déceler, signaler et éliminer les vulnérabilités.

Recommandation 9

Que le gouvernement du Canada collabore avec ses partenaires de l’industrie pour améliorer la cybersécurité au stade de la conception du matériel informatique et des logiciels afin de délester les utilisateurs d’une partie du fardeau d’assurer la cybersécurité.

Recommandation 10

Que le gouvernement du Canada prenne des mesures pour maintenir au pays la propriété intellectuelle des technologies de l’information conçues au Canada, y compris des mesures de commercialisation pour préserver la propriété canadienne des cybertechnologies.

Recommandation 11

Que le gouvernement du Canada, en collaboration avec la société civile, l’industrie et les pays alliés, développe davantage de ressources pour faire face aux opérations étrangères de guerre cognitive — dont la mésinformation, la désinformation et la malinformation — afin de mieux protéger les Canadiens et de veiller à ce que le public ait accès à de l’information exacte.

Recommandation 12

Que le gouvernement du Canada veille à ce que les ministères et les contrats fédéraux fassent l’objet d’une vérification afin de confirmer que les normes de sécurité de l’information sont bien respectées par le gouvernement et les sous-traitants.

Recommandation 13

Que le gouvernement du Canada collabore avec les provinces en vue d’établir des normes de cybersécurité de base pour les petites et moyennes entreprises, et qu’il offre des incitations aux entreprises pour les encourager à adopter les mesures de sécurité les plus récentes qui les protégeront contre les attaques à risque élevé, mais peu probables, ainsi que contre les attaques à faible risque, mais fréquentes.

Recommandation 14

Qu’il y ait une plus grande collaboration entre le gouvernement du Canada et l’industrie canadienne de la défense et de la sécurité pour renforcer l’infrastructure de cyberopérations offensives et défensives du Canada à un moment où des États malveillants manifestent une audace croissante.

Recommandation 15

Que le gouvernement du Canada entreprenne une analyse approfondie de la cybersécurité pour cerner les vulnérabilités du Canada en la matière, y compris au sein de ses infrastructures essentielles, et pour déterminer la priorité à accorder à la suppression de ces vulnérabilités et des intrusions commises par des acteurs malveillants.

Recommandation 16

Que le gouvernement du Canada désigne les plateformes spatiales comme des infrastructures essentielles et qu’il veille à ce qu’elles soient sécurisées.

Recommandation 17

Que le gouvernement du Canada précise les rôles et les responsabilités de chacun des ministères chargés d’exploiter des cybercapacités au Canada, d’en faire la surveillance ou d’intervenir en cas de cyberattaque.

Recommandation 18

Que le gouvernement du Canada procède à un examen de toutes les cyberinfrastructures qui soutiennent les fonctions opérationnelles du ministère de la Défense nationale et des Forces armées canadiennes afin de s’assurer qu’elles ne contiennent aucune technologie critique conçue, assemblée ou exploitée, de façon directe ou indirecte, par des États malveillants, et susceptible de présenter un risque pour la cybersécurité ou de compromettre des informations protégées.

Recommandation 19

Que le gouvernement du Canada oblige tous les ministères fédéraux à fournir au Conseil du Trésor et au Centre de la sécurité des télécommunications une liste détaillée de leurs infrastructures essentielles et à mettre cette liste à jour chaque année, et qu’il demande à tous les gouvernements provinciaux, territoriaux, municipaux et autochtones et à toutes les administrations municipales d’en faire de même.

Recommandation 20

Que le gouvernement du Canada augmente le financement accordé au Centre canadien pour la cybersécurité pour améliorer la coordination entre les systèmes de cybersécurité fédéraux et provinciaux en vue de mieux réagir aux incidents.

Recommandation 21

Que le Parlement du Canada crée un comité mixte spécial sur la cybersécurité, la guerre de l’information et l’intelligence artificielle.

Recommandation 22

Que le gouvernement du Canada entreprenne immédiatement un examen complet et une réforme expéditive des processus d’approvisionnement en équipement militaire, y compris l’équipement de cyberguerre — et que l’examen et la réforme visent aussi les lignes directrices du Conseil du Trésor sur les processus d’appel à la concurrence et d’attribution de contrats à fournisseur unique —, afin que la durée des projets puisse se compter en semaines ou en mois plutôt qu’en années.

Recommandation 23

Que le gouvernement du Canada s’adapte et mette au point un plan détaillé de recrutement et de conservation des cyberopérateurs qui puisse soutenir la concurrence du secteur privé pour aider les Forces armées canadiennes et le Centre de la sécurité des télécommunications à recruter les personnes qui possèdent les compétences dont ils ont besoin.

Recommandation 24

Que le gouvernement du Canada, en collaboration avec les Forces armées canadiennes, se dote d’une capacité de mobilisation continue et qu’il en fasse usage.

Recommandation 25

Que le gouvernement du Canada mette sur pied un système permettant aux anciens combattants qui réintègrent la vie civile de conserver une autorisation de sécurité équivalente à celle qu’ils possédaient dans les Forces armées canadiennes, afin que leur habilitation de sécurité soit maintenue et que leur embauche au sein du ministère de la Défense nationale soit facilitée. Le gouvernement devrait également envisager un système permettant d’accélérer la délivrance d’habilitations de sécurité aux anciens combattants qui recherchent un emploi dans d’autres ministères fédéraux.

Recommandation 26

Que le gouvernement du Canada prenne des mesures pour bien définir les rôles et les responsabilités des Forces armées canadiennes et du Centre de la sécurité des télécommunications en matière de cybersécurité au Canada et à l’étranger.

Recommandation 27

Que le gouvernement du Canada prenne immédiatement des mesures pour remédier aux problèmes de soutien logistique au sein des Forces armées canadiennes et de leurs cyberforces.

Recommandation 28

Que le gouvernement du Canada assure la viabilité à long terme des cyberforces des FAC grâce à la création d’un programme de maintien en poste des cyberopérateurs et à la mise en place des cyberinfrastructures nécessaires.

Recommandation 29

Que le gouvernement du Canada tienne à jour le cadre juridique sur les interventions en cas de cyberattaques, qui comprend des lignes directrices en matière d’attribution, de réponse et de responsabilité.

Recommandation 30

Que le gouvernement du Canada collabore avec ses alliés pour actualiser les lois internationales, dont le Statut de Rome et la Convention de Genève, afin que la guerre cybernétique commanditée par l’État y soit considérée comme un crime de guerre.

Recommandation 31

Que le gouvernement du Canada adopte immédiatement toutes les recommandations qui n’ont pas encore été mises en œuvre parmi celles énoncées dans le Rapport 7 de la vérificatrice générale du Canada intitulé La cybersécurité des renseignements personnels dans le nuage, déposé au Parlement le 15 novembre 2022.

Recommandation 32

Que le gouvernement du Canada soumette à ses régimes de sanctions les particuliers et entités qui se livrent à la mésinformation, à la désinformation ou à la malinformation des Canadiennes et des Canadiens.

Recommandation 33

Que le gouvernement du Canada prenne des sanctions dissuasives contre les pays qui ont recours à des cybercriminels pour voler les fonds ou la propriété intellectuelle d’autrui, pour se livrer à la guerre de l’information ou pour mener d’autres activités malveillantes, ou qui tolèrent ces délits.

Recommandation 34

Que le gouvernement du Canada entreprenne un examen de sa politique de cyberdéfense et qu’il tienne des discussions bilatérales avec des pays alliés, comme les États-Unis, pour veiller à ce que les politiques en vigueur soient cohérentes et uniformes.

Recommandation 35

Que le gouvernement du Canada communique aux provinces le matériel pédagogique de la Finlande et de la Suède pour les civils au sujet de la guerre cognitive.

Recommandation 36

Que le gouvernement du Canada établisse des démarcations claires entre les activités du Centre de la sécurité des télécommunications se rapportant au renseignement électromagnétique et celles se rapportant à la cybersécurité, y compris les processus d’autorisation ministérielle et les mécanismes de déclaration.

Recommandation 37

Que le gouvernement du Canada se dote d’un ambassadeur en matière de cybersécurité.