Analyse des directives sur la cybersécurité des véhicules au Canada

Les véhicules connectés et automatisés (« VC/VA ») présentent des possibilités et des risques pour l’industrie du transport canadien. Les VC/VA comportent des avantages importants qui pourraient améliorer la sécurité, l’efficacité et l’accessibilité des réseaux routiers¹. Par contre, en raison de leurs systèmes sophistiqués et de leur connectivité aux dispositifs et infrastructures de communication externes, les VC/VA présentent de nouveaux risques en matière de cybersécurité qui peuvent menacer la sécurité et la vie privée des passagers.

C’est dans ce contexte qu’en mars 2020, Transports Canada a publié les Lignes directrices sur la cybersécurité des véhicules au Canada (les « directives »), qui proposent une approche axée sur les risques pour les organisations actives dans l’industrie automobile afin de les aider à cerner, à gérer et à détecter les risques liés à la cybersécurité tout au long du cycle de vie d’un véhicule.

Bien que les directives se concentrent sur la cybersécurité plutôt que sur la vie privée, plusieurs considérations se recoupent et viennent enrichir la discussion concernant la réforme des lois canadiennes sur la vie privée entamée par la publication de la Charte numérique du Canada de 2019 du gouvernement fédéral. Plus particulièrement, le fait que les directives approuvent l’élaboration d’un code de pratique pour l’industrie touche directement à un aspect important de cette discussion. Bien que l’écosystème des VC/VA puisse bénéficier de la formalisation des normes et des pratiques optimales, il reste à voir comment celles-ci s’inscriront dans un système réglementaire ultérieur.

Nous passons en revue ci-dessous les principaux aspects de l’approche adoptée et concluons par quelques observations sur son interaction avec les lois relatives à la protection des renseignements personnels dans le contexte des réformes législatives à venir.

Les quatre principes

Les directives énoncent quatre principes neutres sur le plan technologique et non normatifs destinés à renforcer la cybersécurité des VC/VA en identifiant, en surveillant et en répondant aux risques qui y sont liés. Ces principes sont les suivants :

• Repérer et gérer les risques liés à la cybersécurité;
• Protéger l’écosystème des véhicules en mettant en place des mesures de protection appropriées;
• Détecter et surveiller les événements touchant la cybersécurité et intervenir lorsque de tels événements surviennent;
• Assurer une reprise rapide et sécuritaire des activités après un événement mettant en cause la cybersécurité.

L’approche axée sur les risques prévue par les directives est fortement influencée par les directives existantes, notamment celles du U.S. National Institute of Standards and Technology et du Automotive Information Sharing and Analysis Center². Bien que les directives offrent une perspective canadienne sur les enjeux de cybersécurité dans l’industrie automobile, elles suivent généralement la tendance mondiale plus large axée sur des principes de cybersécurité non normatifs auxquels adhèrent d’autres gouvernements.

Tel que mentionné, bien que les directives visent la cybersécurité plutôt que la vie privée et la protection des données, il est intéressant de noter que les principes qui y sont exprimés correspondent à certains égards à ceux de la Loi sur la protection des renseignements personnels et les documents électroniques³ (« LPRPDE »). En effet, la mention de la LPRPDE et des institutions qui l’administrent et l’appliquent fait surface à plusieurs reprises et, comme il est expliqué ci-dessous, les notions de responsabilité, de transparence et de mesures de sécurité « appropriées » (c’est-à-dire proportionnées) figurent au premier plan de l’approche axée sur les risques des directives.

Détecter et gérer les risques en matière de cybersécurité

• Gouvernance de la cybersécurité : Il est conseillé aux organisations d’élaborer des cadres de gouvernance formels et documentés qui définissent clairement les rôles et les responsabilités au sein de leur organisation en matière de gestion des risques liés à la cybersécurité. Pour que ces cadres soient efficaces, les hauts dirigeants des organisations devraient les défendre et ils devraient être régulièrement examinés, évalués et améliorés.
• Cadres de gestion des risques : Une approche axée sur les risques exige également des organisations qu’elles adoptent une stratégie de gestion des risques documentée qui aborde les risques afin de garantir la sécurité des systèmes essentiels et des renseignements personnels. De plus, les organisations sont encouragées à mettre en œuvre des pratiques de gestion des actifs afin d’inventorier les composants des véhicules et des équipements, y compris les actifs de données, et d’évaluer leur valeur dans le but de mettre en œuvre des contrôles de sécurité appropriés axés sur les risques.
• Sûreté de la chaîne d’approvisionnement : Étant donné la « chaîne d’approvisionnement multiniveaux de plus en plus non traditionnelle »⁴ des VC/VA, il convient de partager la responsabilité de protéger la cybersécurité entre tous les acteurs impliqués dans cette chaîne d’approvisionnement. Ainsi, les directives suggèrent d’imposer des mesures contractuelles aux fournisseurs de services, aux vendeurs et aux sous-traitants afin de garantir qu’ils respectent des exigences de sécurité spécifiques. Selon les directives, ces mesures doivent faire l’objet de vérifications régulières selon un calendrier préalablement établi.

Protéger l’écosystème des véhicules

• Cyberdéfenses multidimensionnelles : Évitant le recours à un ensemble de solutions techniques trop formalistes, les directives se concentrent sur une approche de « défense en profondeur » qui prévoit des mesures de cybersécurité à plusieurs niveaux et définit un certain nombre d’« objectifs de sécurité » qui se chevauchent, notamment des contrôles de sécurité appropriés, la sécurisation des données à l’aide de techniques cryptographiques adaptées, la sécurisation des communications internes et externes, la gestion de l’identité et le contrôle de l’accès, le développement de logiciels sécurisés et les mises à jour sécurisées.
• Protection de la vie privée et procédures de protection de l’information : Les directives reconnaissent que les lois canadiennes sur la protection de la vie privée –  y compris la LPRPDE et les lois provinciales essentiellement similaires – sont difficiles à appliquer à des industries particulières qui présentent de nouveaux défis en matière de protection de la vie privée en raison de leur langage neutre sur le plan technologique. Cela est particulièrement vrai en ce qui concerne les VC/VA, car il existe plusieurs intervenants de l’industrie qui peuvent partager, à des degrés divers, la responsabilité de respecter les lois canadiennes sur la protection des renseignements personnels. Dans ce contexte, il n’est pas aisé de savoir comment certains principes relatifs à la protection des renseignements personnels, tels que le consentement, la minimisation des données et la limitation de la finalité, devraient être respectés, surtout si l’on considère les « quantités sans précédent de données sur les mouvements de passagers et les habitudes de mobilité » qui pourraient être recueillies par ces véhicules.⁵ Cette quantité importante de données peut être utilisée de plusieurs façons qui ne sont ni évidentes ni apparentes pour le consommateur moyen, ce qui suscite des inquiétudes quant à la collecte excessive et à l’utilisation abusive de renseignements personnels⁶.

Malgré ces problèmes, les directives offrent peu de recommandations en termes d’application des principes de la législation canadienne sur la protection des renseignements personnels en ce qui concerne les VC/VA, préférant se concentrer sur l’élaboration future d’un code de bonnes pratiques propre à l’industrie. En effet, selon les directives, le gouvernement canadien s’est engagé à travailler avec le Commissariat à la protection de la vie privée du Canada et d’autres parties prenantes pour élaborer un code de bonnes pratiques en matière de protection des renseignements personnels propre à l’industrie⁷. Cette idée trouve également un appui dans les déclarations antérieures faites par Innovation, Science et Développement économique Canada (« ISDE ») concernant la réforme de la LPRPDE, dans lesquelles ISDE a indiqué qu’il envisageait la création d’un rôle officiel pour les codes, les normes et la certification dans le cadre de la LPRPDE.

• Programmes de formation et de sensibilisation : Les organisations devraient mettre en œuvre des programmes de formation et de sensibilisation adéquats pour informer les parties prenantes concernées, notamment les employés, les utilisateurs et les propriétaires, des risques potentiels en matière de cybersécurité.

Détection, surveillance et intervention en cas d’événements touchant la cybersécurité

• Détection, surveillance et analyse des événements et plan de gestion des vulnérabilités : Les organisations doivent mettre en place des mesures pour détecter, surveiller et analyser rapidement les menaces et les vulnérabilités en matière de cybersécurité dans leur milieu opérationnel. Par la suite, ces informations devraient être partagées à l’interne et à l’externe pour en maximiser le retentissement.
• Vérifications de sécurité : Les directives recommandent que les pratiques optimales et les contrôles de sécurité fassent l’objet d’évaluations régulières, objectives, indépendantes et documentées, de même que de vérifications périodiques, comme des tests de pénétration des systèmes, des réseaux et des applications.
• Gestion des incidents et intervention : Les organisations doivent mettre en œuvre un plan de gestion des incidents efficace pour répondre aux incidents de cybersécurité de manière méthodique et coordonnée. Les processus d’intervention, les rôles et les responsabilités, les mesures de confinement des incidents et les procédures à suivre pour faire passer un incident à un niveau supérieur sont quelques-uns des aspects clés qui doivent être clairement établis et définis dans le plan.

Reprise rapide et sécuritaire des activités après un événement mettant en cause la cybersécurité

• Reprise après un incident : Les directives présentent un certain nombre de mesures que les organisations doivent prendre pour reprendre leurs activités après un événement mettant en cause la cybersécurité. Ces mesures comprennent la réalisation d’une analyse post-incident et d’un diagnostic du système afin de déterminer les vulnérabilités qui y sont associées, de prendre des mesures correctives et de documenter les leçons qui ont été tirées.
• Établissement de partenariats et partage de renseignements : Dans les directives, l’accent est mis sur la collaboration entre les différentes parties prenantes de l’industrie automobile, notamment les fabricants, les fournisseurs, les prestataires de services et les organismes gouvernementaux.
• Cybersécurité en tant que processus d’amélioration continue : Les directives reconnaissent généralement que l’élimination de tous les risques liés à la cybersécurité n’est ni faisable ni réaliste en ce qui concerne les VC/VA. C’est pourquoi elles mettent l’accent sur l’apprentissage par des examens et des évaluations périodiques des systèmes de sécurité, sur la documentation des leçons qui ont été tirées et sur l’application de ces leçons à l’avenir.

Conclusion

Bien que les directives représentent une étape importante, quoique prudente, vers l’élaboration d’un cadre réglementaire plus complet en matière de cybersécurité pour les VC/VA, nous pouvons nous attendre à ce que les développements législatifs futurs apportent davantage de clarté, particulièrement dans le contexte de la réforme prévue de la LPRPDE. Il reste à voir si cela prendra la forme d’un code de bonnes pratiques ou d’exigences réglementaires, ce qui dépendra de la question de savoir si les réformes juridiques des lois canadiennes sur la protection des renseignements personnels maintiennent une approche technologiquement neutre.⁸

Dans son ouvrage intitulé Renforcer la protection de la vie privée à l’ère numérique⁹, l’ISDE note que l’intégration de codes et de normes dans la loi fédérale canadienne sur la protection de la vie privée peut servir à améliorer la transparence et à apporter une plus grande certitude aux particuliers et aux organisations, à promouvoir l’interopérabilité entre les cadres juridiques internationaux en matière de protection de la vie privée et à alléger le travail de conformité des organismes de réglementation. Toutefois, même si les réformes de la LPRPDE trouvent une place pour les codes, compte tenu des répercussions qu’a la cybersécurité sur la vie privée, il pourrait être prématuré de s’attendre à ce que l’ISDE approuve un régime d’autorégulation à part entière pour la cybersécurité, à l’instar des régimes d’autorégulation du secteur financier.

Étant donné que les compétences de Transports Canada et de l’ISDE se recoupent dans ce domaine législatif, il y a beaucoup de place pour le dialogue et l’innovation. Il sera donc intéressant de voir comment se déroulera cette discussion.

---

¹ Conseil canadien des administrateurs en transport motorisé, Lignes directrices aux administrations canadiennes sur la sécurité des essais et du déploiement des véhicules hautement automatisés, juin 2018, à la page 13.

² Transports Canada, Lignes directrices sur la cybersécurité des véhicules au Canada, mars 2020, à la page 12.

³ L.C. 2000, ch. 5.

⁴ Transports Canada, Lignes directrices sur la cybersécurité des véhicules au Canada, mars 2020, à la page 9.

⁵ Transports Canada, Évaluation de la sécurité des systèmes de conduite automatisés au Canada, janvier 2019, à la page 19.

⁶ Il est intéressant de noter, par exemple, que selon le Conseil canadien des administrateurs en transport motorisé, les autorités pourraient éventuellement chercher à utiliser ces données à des fins d’application de la loi. Voir Conseil canadien des administrateurs en transport motorisé, Lignes directrices aux administrations canadiennes sur la sécurité des essais et du déploiement des véhicules hautement automatisés, juin 2018, aux pages 55-61.

⁷ Transports Canada, Lignes directrices sur la cybersécurité des véhicules au Canada, mars 2020, à la page 17.

⁸ Innovation, Sciences et Développement économique Canada, Renforcer la protection de la vie privée dans l’ère numérique, 2019.

⁹ Innovation, Sciences et Développement économique Canada, Renforcer la protection de la vie privée dans l’ère numérique, 2019.