Christyn Cianfarani
10 mars, 08h45, Ottawa (en personne)

Vérification par rapport à la livraison
(LE FRANÇAIS SUIT CI-DESSOUS)
Bonjour. Merci de m'avoir invité à comparaître devant ce comité.
Aujourd'hui, je vais vous présenter le point de vue de l'industrie canadienne de la défense et de la sécurité et du sous-ensemble d'entreprises qui composent l'industrie canadienne de la cybersécurité.
L'industrie canadienne de la cybersécurité est de calibre mondial. Selon des études réalisées par ISDE et Statistique Canada, entre 2018 et 2020, le secteur a augmenté de plus de 30 % en termes d'emploi, d'activité de R-D et de revenus. Il s'agit d'un secteur mondial en croissance rapide qui devrait rapidement dépasser les dépenses traditionnelles en TI.
Cependant, seulement 8 % des revenus du secteur proviennent de contrats du gouvernement canadien. Huit pour cent.
Le secteur vend trois fois plus à nos alliés des Five Eyes qu'au gouvernement canadien. Ces chiffres témoignent d'un défi central auquel nous sommes confrontés au Canada en matière de cybersécurité : nos alliés voient plus de valeur que le Canada dans le secteur de la cybersécurité au Canada. Il y a quelque chose qui ne va pas avec cette image.
Donc, un aspect de la médaille est que le Canada doit acquérir davantage de sa propre base industrielle, en utilisant l'approvisionnement comme levier politique pour stimuler l'innovation et accroître la taille des entreprises canadiennes. Le revers de la médaille, c'est que le Canada doit se procurer au « rythme de la cybersécurité ». Un processus d'approvisionnement lent est une recette pour acheter une cybertechnologie désuète ou même obsolète. Les cycles d'innovation dans ce domaine sont mesurés en mois, voire en semaines.
Résoudre ces problèmes se résume à un seul mot : la collaboration. Le Canada a besoin d'un degré beaucoup plus élevé de coopération, de partage des connaissances et de codéveloppement entre le gouvernement et le secteur privé.
Des mesures positives ont été prises dans ce sens, mais nous sommes loin d'être là où nous devons être. Bien que des organismes comme le CSE soient très compétents, les recherches du CADSI ont montré que notre gouvernement prend du retard sur ses alliés lorsqu'il s'agit de travailler avec le secteur de manière institutionnalisée. Nos alliés collaborent actuellement avec l'industrie en temps réel en Ukraine.
Le gouvernement canadien doit établir un forum récurrent de dialogue et de discussion sur les questions cybernétiques avec tous les intervenants clés — l'industrie, le MDN et les FAC, le CSE, le CCCS, le GAC et Sécurité publique Canada — autour de la table.
Le Canada a également besoin de systèmes améliorés de partage des menaces qui combinent des sources ouvertes avec des sources d'information gouvernementales et industrielles sur les violations, les indicateurs et les réponses possibles. Cela impliquera de rationaliser ce qui n'est pas classifié et ce qui reste classifié et qui a accès à quoi. Encore une fois, nos alliés sont à l'avant-garde de ce type d'activité.
Nous devrions envisager des bacs à sable et des espaces de laboratoire collaboratifs pour tester ensemble de nouvelles technologies et capacités et des échanges de talents entre les secteurs public et privé, comme le programme Industrie 100 du Royaume-Uni et un nouvel échange de talents qui vient d'être lancé par le CSE. Cela pourrait commencer à remédier aux pénuries de cybertalents auxquelles nous sommes tous confrontés parce que nous ne nous cannibalisons pas les uns les autres ne fonctionnera pas. Les réservistes possédant des compétences en cyberinformatique et en informatique qui sont employés par des entreprises pourraient constituer un moyen attrayant de soutenir la reconstitution des FAC, à condition que le gouvernement ne revendique pas la PI et les brevets que les réservistes créent lorsqu'ils travaillent dans le secteur privé.
Il est également important de noter que la base industrielle de défense plus large, ou DIB, qui comprend des entreprises fabriquant tout, des satellites aux navires, est devenue une cible de choix pour les acteurs de cybermenaces. Les entreprises intègrent de plus en plus des technologies comme l'intelligence artificielle dans leurs produits ; nous savons que des pays comme la Chine et la Russie poursuivront l'IA du Canada à travers tous les vecteurs disponibles.
Le DIB du Canada est étroitement intégré aux FAC et au DIB américain. Ce que nous faisons dans ce secteur est très précieux et cela nous rend vulnérables étant donné que 90 % des entreprises canadiennes de défense sont des PME. Bon nombre d'entre eux n'ont pas la capacité de se défendre contre une cyberattaque parrainée par l'État.
Il est de plus en plus nécessaire de sécuriser les entreprises canadiennes de défense, grandes et petites. Il n'est pas surprenant que les Américains aient une longueur d'avance sur nous. Très bientôt, une norme exigeante et obligatoire en matière de cybersécurité apparaîtra dans les contrats de défense du Pentagone. C'est ce qu'on appelle la certification du modèle de maturité en cybersécurité, ou CMMC.
Le CADSI a soutenu que le Canada devrait adopter cette norme par renvoi. La CMMC deviendra probablement de facto une norme Five Eyes, sinon mondiale, pour les entreprises de défense. Prendre le temps d'envisager une norme distincte au Canada pourrait devenir un désavantage concurrentiel pour nous et une barrière commerciale non tarifaire. Et bien que le CMMC soit nouveau, d'autres règlements doivent être modernisés pour le cyberespace et cela doit être fait avec l'industrie à la table, puisque nous sommes à la fine pointe de la technologie.
En conclusion, une cyberdéfense efficace à l'échelle nationale est un sport d'équipe. Si nos alliés peuvent l'obtenir, pourquoi pas nous ?
Je vous remercie. Je me ferai un plaisir de répondre à vos questions.
FRANÇAIS
Bonjour. Merci de m'avoir invitée.
Aujourd'hui, je te donnerai le point de vue de l'industrie canadienne de la défense et de la sécurité, and of the sous-ensemble of entreprises qui constitue l'industrie canadienne de la cybersécurité.
L'industrie canadienne de la cybersécurité est de classe mondiale. Selon les études terminées par ISDE est Statistique Canada, entre 2018 et 2020, the sector a connu une croissance de plus de 30 % in this that a trait à l'emploi, à la recherche-développement et aux revenus. Il s'agit d'un secteur mondial qui croît et qui devrait dépasser les TI traditionnelles en termes de dépenses.
Par contre, seulement 8 % des revenus du secteur de la cybersécurité dérivent des contrats du gouvernement. Huit for cent.
The sector fait trois fois de vente auprès de nos alliés du Groupe des cinq qu'auprès du gouvernement du Canada. This chiffres montre un défi central qui notre pays est face à la cyberdéfense : nos alliés voient plus de valeur dans le secteur de la cybersécurité que le Canada. Some is cloche in this image.
Also, of a side, we we the Canada that a besoin de faire plus d'acquisitions auprès de sa propre base de la cyberindustrie, in use the approvisionnement as political levier for stimuling the innovation and for the Canadian Enterprises. De l'autre côté, le Canada a besoin de faire des acquisitions à une vitesse « cybernétique ». Un processus d'acquisition est le moyen parfait pour acheter des cybertechnologies désuètes, voire obsolètes. Les cycles d'innovation dans ce domaine se mesurent en mois et même en semaines.
La résolution de ces problèmes se réprime en un mot : collaboration. Le Canada a besoin d'un plus grand degré de coopération, de partage de connaissances et de développement en collaboration entre le gouvernement et le secteur privé.
Nous avons pris des mesures pratiques en ce sens, but we not absolument pas rendus là où nous devrions l'être. Des agences comme le CST ont les capacités voulues, but the research of CADSI a indiqué que notre gouvernement est loin de nos alliés lorsqu'il est question de collaboration avec le secteur d'une manière institutionnalisée. Nous pouvons voir nos alliés collaborent avec l'industrie en temps réel avec la guerre en Ukraine.
Le gouvernement du Canada doit établir un forum permanent pour le dialogue et la discussion sur les questions cybernétiques avec tous les principaux intervenants : l'industrie, le ministère de la Défense nationale et les Forces armées canadiennes, le Centre de la sécurité des télécommunications du Canada, Affaires mondiales Canada et Sécurité publique Canada.
The Canada a également besoin de systèmes de partage des menaces qui combinent les sources de données ouvertes avec celles du gouvernement et de l'industrie à propos des effractions, des indicateurs et des réponses possibles. Il s'agira de rationaliser ce qui n'est pas classé et ce qui reste classifié et qui a accès à quoi. Encore une fois, nos alliés sont à l'avant-garde de ce type d'activité.
Nous devrions envisager d'utiliser les bacs à sable et les laboratoires collaboratifs pour tester ensemble les nouvelles technologies et capacités à l'échelle et l'échange de talents entre les secteurs public et privé comme le programme Industrie 100 au Royaume-Uni et le nouvel échange de talent qui vient d'être lancé par le CST. Cela peut permettre de corriger les pénuries de cybertalents qui sévissent partout, parce que le fait de se cannibaliser mutuellement ne fonctionne pas. Le recours aux réservistes ayant des compétences en cybernétique recruté par les entreprises peut constituer un moyen de soutenir la reconstitution des Forces armées canadiennes, autant que le gouvernement ne reconnaît pas la propriété intellectuelle et les brevets des réservistes pour la période où ils étaient embauchés par le secteur privé.
Il est également important de souligner que l'infrastructure industrielle de défense en général, qui englobe les entreprises qui fabriquent tout, des satellites aux navires, est devenue une cible de choix pour les cybermenaces. De plus, les entreprises intègrent des technologies comme intelligence artificielle dans leurs produits. On sait que la Chine et la Russie peuvent s'intéresser à l'intelligence artificielle du Canada par tous les moyens disponibles.
Canadian Industrial Defence Infrastructure est complètement intégrée dans les Forces armées canadiennes et l'infrastructure industrielle de défense américaine. Ce que nous faisons dans ce secteur est une grande valeur et nous sommes très vulnérables, donné que 90 % des entreprises de défense canadiennes sont des petites ou moyennes entreprises. Bon nombre d'entre elles n'ont pas la capacité de se protéger contre une cyberattaque parrainée par un État.
Le besoin de sécuriser les entreprises canadiennes de défense, petites et grandes. Les Américains sont, sans surprise, en avance sur nous. Très bientôt, une norme contraignante et obligatoire sera appliquée à tous les contrats de défense du Pentagone. Il s'agit de la certification du modèle de maturité en cybersécurité, CMMC.
CADSI a déjà déclaré que le Canada devrait adopter cette norme en référence. La CMMC deviendra probablement la norme de référence du Groupe des cinq, voire une norme mondiale, des entreprises de défense. Comprendre the temps d'envisager d'adopter une autre norme au Canada pourrait être un désavantage pour les entreprises canadiennes et un obstacle au commerce libre de droits de douane.
Et bien que CMMC soit nouveau, d'autres règlements doivent être aussi modernisés pour le cyber et ça doit être fait avec l'industrie à la table, car nous sommes à la pointe de la technologie.
En conclusion, une cyberdéfense efficace au niveau national est un sport d'équipe. Si nos alliés peuvent faire, pourquoi pas nous ?
Merci. Je vais maintenant répondre à vos questions.
The Canadian Association of Defence and Security Industries (CADSI) is the national industry voice of more than 650 Canadian defence, security and cybersecurity companies that produce world-class goods, services and technologies made across Canada and sought the world over. The industries contribute to the employment of more than 78,000 Canadians and generate $12.6 billion in annual revenues, roughly half of which come from exports. To learn more, visit defenceandsecurity.ca.
CADSI's current advocacy focus areas, driven by member input and Canada's evolving defence needs