Le Canada est depuis peu à étudier un nouveau projet de loi visant à renforcer la cybersécurité des entreprises dont les activités sont régies par la législation fédérale, telle les sociétés de télécom, les banques, etc.
Avec le Projet de loi C-26, le Canada se doterait d’une première loi touchant la cybersécurité des organisations et dont le focus n’a rien à faire avec protéger des renseignements personnels. Cette fois, le but de la nouvelle loi serait de mieux protéger les cyber-systèmes de télécommunication au Canada et, plus généralement, les systèmes utilisées par les divers type d’organisation de compétence fédérale qui s’avèrent « essentiels » pour la sécurité nationale ou la sécurité publique, au Canada, ce qui peut comprendre :
- des sociétés de transport interprovinciales, dont aériennes ou navales ;
- des entreprises de télécommunications (dont les FAI, par exemple) ;
- des entreprises qui s’occupent de certaines formes d’énergies ou leur transport ;
- des institutions financières et celles touchant le système financier, etc.
Une fois cette nouvelle loi adoptée, les organisations visées se verront imposées des obligations relativement strictes en matière de cybersécurité du jamais vu au Canada. Le gouvernement entend en effet de doter de pouvoirs afin d’être désormais en mesure de, par exemple :
- ordonner à certaines entreprises visées de mieux sécuriser leurs systèmes, de façon spécifique ;
- décréter que certains services ou systèmes sont d’une «importance critique» pour la sécurité nationale ou la sécurité publique ;
- forcer les entreprises visées à mettre en œuvre des programmes de cybersécurité, à se conformer aux directives de cybersécurité et, plus intéressant encore, à signaler les incidents de cybersécurité qui surviendrait chez eux à divers organismes fédéraux ; etc.
Le projet de loi C-26 en est pour l’instant au stade de sa première lecture.