Canada 4,0 : Cybersécurité, cybercriminalité et sécurité publique à l'ère numérique
Numéro de catalogue : 11-629-x
Numéro d'exemplaire : 2020001
Date de diffusion : le 14 février 2020
Canada 4.0 : Cybersécurité, cybercriminalité et sécurité publique à l'ère numérique - Transcription
Lynn Barr-Telford : Bon après-midi à tous. Je m'appelle Lynn Barr-Telford et je suis statisticienne en chef adjointe responsable du Secteur de la statistique sociale à Statistique Canada. Je suis très heureuse de souhaiter la bienvenue à tous, en personne et en ligne, à cette deuxième d'une série de présentations de groupes d'experts, organisées conjointement par Statistique Canada et Innovation, Sciences et Développement économique Canada dans le cadre d'une initiative plus vaste appelée Canada 4.0 — La société canadienne, l'économie et la transformation numérique. Statistique Canada aide les Canadiens à mieux se positionner au moyen des données pour comprendre l'incidence de la numérisation. La présente initiative, menée en partenariat avec Innovation, Sciences et Développement économique Canada, vise à recueillir les points de vue des Canadiens, des entreprises, des gouvernements et des experts internationaux sur leurs besoins émergents en données à l'ère de la numérisation. Étant donné que notre objectif est de mieux mesurer la numérisation, nous avons organisé une série de discussions de groupes d'experts sur la numérisation qui se tiendront au cours des six prochains mois. Chaque discussion vise à explorer un sujet numérique différent, comme la mesure de l'économie numérique, le travail à la demande, ou la santé et le bien-être, tout en mettant un accent continu sur la valeur et le rôle des données. Les discussions en groupe sont diffusées en direct, enregistrées et affichées sur le site Web de Statistique Canada. Cela nous amène à la raison pour laquelle nous sommes ici aujourd'hui, à savoir la deuxième discussion de la série, qui porte sur un élément clé de la transformation numérique au sein de la société canadienne. Il s'agit de la cybercriminalité, de la cybersécurité et de la sécurité publique à l'ère numérique. Aujourd'hui, nous entendrons quatre experts pendant environ une heure, puis nous répondrons aux questions des participants en ligne via WebEx et Facebook Live, de même qu'à quelques questions d'ordre administratif pour ceux qui se joignent à nous en ligne. Veuillez vous assurer que votre microphone est désactivé et que votre caméra est éteinte afin de réduire au minimum le risque de difficultés techniques sur la ligne WebEx. Pour commencer, je suis très heureuse de vous présenter votre modérateur d'aujourd'hui, Yvan Clermont, directeur du Centre canadien de la statistique juridique à Statistique Canada.
Yvan Clermont : Nous accueillons aujourd'hui quatre personnes chevronnées, des autorités en la matière, chacune apportant un point de vue différent et unique à la discussion que nous aurons aujourd'hui. Nous accueillons donc aujourd'hui, en ligne, M. Benoît Dupont, professeur de criminologie à l'Université de Montréal, où il est titulaire de la Chaire de recherche du Canada en cybersécurité et de la Chaire de recherche en prévention de la cybercriminalité. Nous accueillons aussi aujourd'hui, à ma droite, M. Barry MacKillop, directeur adjoint des opérations au Centre d'analyse des opérations et déclarations financières du Canada, le CANAFE. Ensuite, nous accueillons Mme Signy Arnason, directrice générale adjointe du Centre canadien de protection de l'enfance, un organisme de bienfaisance national voué à la protection de l'enfance. Enfin, nous accueillons M. Jeff Adams, commissaire adjoint chargé des opérations techniques de la Gendarmerie royale du Canada, qui supervise l'Unité nationale de coordination de la lutte contre la cybercriminalité. Je vous invite à vous joindre à moi pour applaudir tous ces experts. Merci beaucoup de vous être joints à nous aujourd'hui. Avant d'aller de l'avant avec l'exposé de Benoît, j'aimerais demander à chacun de nos experts invités de prendre deux minutes, et seulement deux minutes si possible, pour nous parler un peu de votre intérêt particulier pour la conférence d'aujourd'hui et pour la cybercriminalité en général, et de la nature de votre travail dans le domaine de la cybercriminalité et de la sécurité. Commençons donc par Barry, à ma droite. Barry, je vous cède la parole, si vous voulez bien nous parler de votre intérêt particulier pour ce sujet.
Barry MacKillop : En fait, au CANAFE, nous ne nous intéressons pas à la cybersécurité en tant que telle pour ce qui est de la protection des cyberéléments. Nous nous concentrons davantage sur les crimes qui ont une composante cybernétique, et je pense que c'est ce que nous observons de plus en plus. Nous nous occupons des renseignements financiers et c'est dans le domaine cybernétique des renseignements financiers que nous examinons les nouvelles méthodes de paiement, les technologies financières, qu'on appelle aussi FinTech, la technologie de chaîne de blocs, le Web invisible, les monnaies virtuelles… ce genre de choses. Ce sont tous ces défis qui, à mon avis, sont de plus en plus à l'avant-plan au CANAFE et partout dans le monde, alors que nous interagissons avec nos partenaires de l'URF, c.-à-d. l'Unité du renseignement financier. Je vais essayer de modérer mon emploi de sigles, mais si vous ne comprenez pas un sigle, levez simplement la main pour m'en aviser et je vous le définirai. Enfin, je pense que c'est davantage ce qui nous intéresse en ce moment, et lorsque l'exposé commencera, je parlerai un peu de nos partenariats public-privé, de la façon dont nous travaillons avec l'industrie et d'autres acteurs pour faire avancer des éléments particuliers, qu'il s'agisse de la traite des personnes, des opioïdes, du fentanyl, de ce genre de choses, et de crimes très précis, qui sous-tendent les infractions de blanchiment d'argent et de financement du terrorisme, bien sûr, qui ont de plus en plus une dimension cybernétique. Je pense que cela fait deux minutes. Je vais me taire maintenant et reprendre mon discours plus tard.
Yvan Clermont : Merci beaucoup, Barry. J'aimerais donc poursuivre avec vous, Jeff, si vous me le permettez.
Jeff Adam : Merci et bon après-midi. Je suis responsable de la cybercriminalité depuis plusieurs années; je l'étais avant même que la GRC ne s'y intéresse. À un moment donné, j'en ai eu assez d'assister à des réunions internationales avec des partenaires d'application de la loi de partout dans le monde et de les entendre me demander où en est le Canada en matière de cybercriminalité, pour ensuite nous traiter de films muets. Donc, une partie de ce que l'Unité nationale de coordination de la lutte contre la cybercriminalité va mettre en place, espérons-le, sera une plateforme unique où les Canadiens et les entreprises pourront signaler la cybercriminalité, et j'y reviendrai plus tard. Mais pour l'instant, nous n'avons qu'une idée approximative de l'incidence de la cybercriminalité sur les Canadiens. Il y a plus de 80 % de nos petites et moyennes entreprises qui font des affaires en ligne, et celles-ci sont actuellement le maillon faible de la chaîne, tant pour l'infrastructure essentielle que pour notre économie numérique en ligne. Les comités parlementaires, les comités sénatoriaux, tout le monde veut connaître l'ampleur de la cybercriminalité et savoir si la GRC a déjà arrêté quelqu'un pour avoir commis un cybercrime… Heureusement qu'ils m'envoient pour répondre à ces questions, parce que je peux dire que je l'ai déjà fait. J'ai déjà arrêté quelqu'un pour une affaire de blanchiment d'argent aussi, d'ailleurs, mais cette histoire sera pour une autre fois. Enfin, de toute évidence, compte tenu de l'un de ses principaux mandats en matière de sécurité publique, la police est très, très préoccupée par la façon dont les Canadiens sont ciblés par des criminels de partout dans le monde. Et c'est pourquoi je suis ici aujourd'hui.
Yvan Clermont : Merci beaucoup, Jeff. Benoît, pourriez-vous nous parler de votre intérêt particulier pour le domaine et de la nature de votre travail dans le domaine, s'il vous plaît?
Benoît Dupont : En tant que membre de la communauté universitaire, je m'intéresse surtout à la façon dont la société s'adapte à la technologie et, en tant que criminologue, à la façon dont les contrevenants innovent et développent leur modus operandi pour tirer parti des nouveaux développements technologiques, et donc aussi à la façon dont nous pouvons prévenir les utilisations malveillantes de la technologie et concevoir des programmes et des politiques de prévention et d'atténuation qui sont vraiment efficaces. De plus, j'aime participer à la conception et à la mise en œuvre d'initiatives de collaboration qui rassemblent le milieu universitaire et, quand je dis le milieu universitaire, je parle à la fois des sciences informatiques et des sciences sociales. Je pense que la cybercriminalité et la cybersécurité ne constituent pas seulement un problème technique, c'est aussi un problème social, un problème de politique, et j'essaie d'élaborer des initiatives qui rassemblent le milieu universitaire, le gouvernement et l'industrie. Beaucoup de gens en parlent, mais c'est vraiment très difficile à mettre en œuvre, et nous essayons de le faire par l'entremise d'un certain nombre de plateformes, comme le Réseau intégré sur la cybersécurité.
Yvan Clermont : Merci. Signy, si vous voulez bien nous parler de votre intérêt particulier pour ce sujet aujourd'hui et du genre de travail vous faites avant que nous commencions l'exposé, s'il vous plaît.
Signy Arnason : Oui, bien sûr, merci beaucoup de nous avoir invités. Je travaille au Centre canadien de protection de l'enfance; nous jouons un rôle intéressant dans ce domaine. Nous sommes une ONG, une organisation non gouvernementale, comme vous l'avez mentionné, qui se consacre à la sécurité personnelle des enfants. Depuis 17 ans, nous exploitons Cyberaide.ca, une ligne nationale de signalement des cas d'exploitation sexuelle d'enfants en ligne. Nous sommes aux premières lignes pour ce qui est du traitement des importantes répercussions de la technologie et d'Internet sur la vie des enfants, et nous sommes du côté sombre de cette ligne. Certes, il y a des aspects positifs, mais nous sommes inondés par les torts que subissent les enfants et la façon dont les contrevenants profitent d'Internet pour commettre des crimes contre les enfants. Donc, en tant qu'organisation, nous voyons le rôle de la technologie comme un impératif dans la lutte contre cette épidémie sociale. Nous nous attaquons à ce problème de diverses façons. Certes, la police a un rôle important à jouer, mais n'importe quel policier vous dira que le problème est tellement répandu que nous ne le réglons pas en procédant à des arrestations. Les ONG et les lignes d'écoute comme la nôtre jouent un rôle sur la scène internationale en publiant des avis de retrait et en retirant du contenu. L'industrie joue aussi un rôle en étant beaucoup plus proactive, de sorte à empêcher que ce contenu se retrouve dans ses services. Et ensuite, s'ils choisissent de ne pas agir, quel est le rôle des fournisseurs en amont et comment pouvons-nous commencer à réduire la grande disponibilité de contenu d'exploitation sexuelle des enfants? Donc, dans ma partie de l'exposé, je vais passer en revue toutes les façons dont nous tirons parti de ces éléments pour réduire les préjudices faits aux enfants.
Yvan Clermont : Merci beaucoup, Signy. Nous avons hâte d'entendre votre exposé, nous avons déjà vu la vidéo, et nous avons hâte de vous entendre parler de l'excellent travail que vous faites. Donc, avant de commencer l'exposé officiel, j'aimerais parler brièvement de Statistique Canada, à titre d'introduction, de notre intérêt pour la cybercriminalité et la cybersécurité et de la façon dont nous voulons jouer un rôle sur ce plan. Nous menons tous notre vie quotidienne en cette ère de plus en plus numérique. Nous textons, nous envoyons des courriels et des textos pour communiquer avec notre famille, nos amis, nos partenaires commerciaux, tout le monde. Et nous vivons de plus en plus en ligne : nous travaillons en ligne, nous le faisons de façon très mobile; nous transférons aussi des fonds en ligne pour payer nos factures, pour envoyer de l'argent à nos amis, à nos enfants et partout; nous achetons et vendons des biens en ligne, et nous utilisons aussi nos cartes de crédit et de débit pour payer partout où nous allons. Donc, si nous nous engageons dans ce cyberespace de cette façon, nous pouvons nous attendre à ce que les criminels le fassent aussi. Et ils exploitent nos vulnérabilités alors que nous vivons à l'ère numérique. Nous sommes de plus en plus exposés, pour ne pas dire plus vulnérables, les contrevenants sont de plus en plus inventifs et les façons dont nous devons nous protéger deviennent de plus en plus complexes. On peut penser à une foule de crimes connus, pas tellement nouveaux, et à de nouveaux crimes. Par exemple, le vol d'identité, comme nous l'avons vu récemment dans les journaux. Les attaques de logiciels malveillants, la cyberintimidation, la fraude, l'extorsion, l'exploitation sexuelle des enfants, le piratage, le vol de données, le trafic d'armes à feu, le terrorisme, les crimes haineux en ligne, le vol de propriété intellectuelle, ce sont toutes des activités et des transactions qui se déroulent sur Internet et sur le Web invisible en ce moment même. Donc, si nous tenons compte de cela, une question pourrait être de savoir non seulement si un plus grand nombre de crimes ou d'incidents comprennent aujourd'hui un volet cybernétique quelconque, mais aussi s'ils sont de plus en plus nombreux à ne pas être signalés à la police, par exemple. En 2005, Statistique Canada a commencé à examiner si les incidents criminels étaient liés à la cybersécurité. Nous avons inclus certains indicateurs dans le Programme de déclaration uniforme de la criminalité et, plus récemment, instauré l'Enquête canadienne sur la cybersécurité et le cybercrime, menée auprès des entreprises en 2017. Ce genre d'enquête est l'une des premières au monde. Elle nous a permis d'examiner les répercussions économiques de la cybercriminalité pour les entreprises, et de nombreuses leçons tirées de cette initiative ont été consignées et conservées pour que d'autres organisations dans le monde mènent leur propre enquête. Mais je voudrais vous faire part de quelques-unes des conclusions de cette enquête. Les entreprises canadiennes ont dépensé un total de 14 milliards de dollars pour prévenir et détecter les incidents de cybersécurité, et pour s'en remettre, et le cinquième des entreprises canadiennes ont indiqué avoir été touchées par un incident de cybersécurité. Environ 10 % seulement des entreprises touchées ont signalé ces incidents à un service de police, ce qui est très faible. L'enquête sera menée de nouveau en 2019. Au-delà des entreprises, les Canadiens sont aussi vulnérables à la traite des personnes, et j'ai déjà mentionné quelques éléments, ou aspects relatifs auxquels les Canadiens sont vulnérables chaque jour. Enfin, l'apparition de nouveaux cybercrimes est chose certaine, et nous devons trouver des façons de les mesurer pour pouvoir les surveiller. Donc, malgré ce qu'on croit être une prolifération de nouveaux crimes et de crimes moins nouveaux attribuable à la composante en ligne, parmi les incidents criminels signalés à la police l'an dernier, environ 28 000 étaient liés à la cybercriminalité. Ce nombre ne représente qu'une petite proportion de tous les crimes, si l'on tient compte des plus de deux millions d'incidents criminels qui ont été portés à l'attention de la police. On peut voir qu'il y a un écart prononcé entre les deux chiffres; le nombre de crimes liés à la cybercriminalité ne représente qu'un peu plus de 1 % de tous les crimes. Benoît, si vous êtes toujours en contact avec nous, j'aimerais que vous nous fassiez un exposé sur certains de vos travaux sur l'écosystème de la cybercriminalité et de la cybersécurité, ce qui préparera très bien le terrain en vue des exposés des autres experts. J'aimerais revenir aux autres experts par la suite pour qu'ils puissent réagir à votre exposé, qui se veut un très bon exposé général sur l'écosystème de la cybercriminalité, ce qui, je pense, constitue une excellente façon d'examiner ce problème. Alors, s'il vous plaît, vous pouvez y aller, Benoît.
Benoît Dupont : Merci, Yvan. Donc, la cybersécurité et la cybercriminalité demeurent un casse-tête politique; autrement, nous ne serions pas ici à essayer de mieux comprendre la question. Alors que les sociétés humaines sont au cœur d'une révolution numérique qui se révèle aussi perturbatrice et transformatrice que la révolution industrielle précédente, le problème complexe de la protection des nouveaux systèmes technologiques dont nous dépendons tant, contre un large éventail de risques et de préjudices en ligne, se révèle pour le moins extrêmement difficile à résoudre. Des manchettes alarmantes comme celle que nous avons vue la semaine dernière au Québec à propos de Desjardins qui a subi une importante atteinte à la sécurité des données, laquelle a touché les renseignements personnels d'environ 2,9 millions de personnes, nous rappellent que les données personnelles et financières que nous confions à nos banques, à nos assureurs, à nos employeurs, à nos détaillants ou même à nos fournisseurs de services en ligne sont systématiquement pillées par des pirates informatiques qui sont devenus très habiles à exploiter les vulnérabilités techniques et les erreurs humaines. Et pour être clair, la situation de Desjardins n'était pas un piratage externe, c'était un incident interne, mais cela revient au même. Vous savez, les données vont se retrouver, si ce n'est déjà fait, sur le Web invisible ou sur les marchés clandestins criminels. Comme nous l'entendrons également aujourd'hui, les contrevenants sexuels utilisent des plateformes en ligne pour développer des collectivités illicites qui facilitent l'exploitation sexuelle des enfants. Entre-temps, les organisations policières sont aux prises avec de graves contraintes qui font en sorte qu'il leur est très difficile d'embaucher, de former et de retenir les enquêteurs spécialisés et les experts judiciaires nécessaires pour intenter des poursuites contre les cybercrimes locaux et internationaux. Mais la sécurité n'est pas seulement une responsabilité, elle peut aussi devenir une source de développement économique et de création d'emplois lorsque les entreprises sont en mesure de concevoir et de commercialiser des produits et des services qui offrent aux consommateurs et aux citoyens des caractéristiques de sécurité améliorées. La cybersécurité est un marché mondial dont on estime la valeur à environ 206 milliards de dollars canadiens en 2019, et des pays comme Israël ont démontré comment elle peut devenir un moteur de prospérité économique pour une nation. Donc, pour comprendre la cybersécurité et la cybercriminalité, il faut tenir compte en même temps de ce mélange unique de trois tendances : dans un premier temps, pensons aux technologies en évolution rapide qui sont souvent mises au point et adoptées si rapidement que la commodité l'emporte sur les considérations de sécurité. Dans un deuxième temps, nous observons des groupes criminels très innovateurs qui sont en mesure de repérer et d'exploiter les vulnérabilités techniques et humaines. Dans un troisième temps, il faut tenir compte des intervenants en matière de sécurité qui combinent l'expertise et les ressources publiques et privées pour prévenir et atténuer les cyberpréjudices. Donc, pour comprendre cette complexité, je trouve que l'analogie écologique est très utile et peut-être que si nous passons à la deuxième diapositive, nous pouvons voir ce que j'entends par là. L'analogie écologique nous permet de mieux cartographier et comprendre les interactions constantes entre les entreprises qui fabriquent des technologies qui comportent des failles sur le plan de la sécurité, les cybercriminels qui profitent de ces vulnérabilités et les professionnels de la sécurité qui tentent de réduire au minimum les répercussions négatives de ces cyberpréjudices. Il est ainsi possible de modéliser la cybersécurité comme un écosystème où trois communautés coexistent et interagissent dans l'environnement numérique. La première communauté est l'industrie, qui génère d'immenses résultats positifs pour la société par l'innovation et le développement économique. Cependant, les pressions concurrentielles sur cette industrie et le manque de réglementation par rapport aux autres secteurs signifient aussi que la sécurité est rarement intégrée à la conception des produits et services lorsqu'ils sont mis en marché. La deuxième communauté est la communauté criminelle, qui tire parti de la structure décentralisée d'Internet et de la relative et (inaudible) qui permet à ses utilisateurs de construire des réseaux internationaux de contrevenants très qualifiés qui sont capables de collaborer sans connaissance préalable les uns des autres pour générer des profits très importants sur une (inaudible) sans précédent d'organisations. Nous avons entendu parler des organisations policières qui sont souvent limitées par les frontières nationales pour lutter contre un problème mondial, même si les efforts de coopération internationale s'améliorent et si le gouvernement du Canada a investi massivement pour améliorer la capacité de la GRC d'intervenir et de coordonner l'accès national et international à plus de ressources, d'expertise et de données, tout en représentant des intérêts corporatifs très étroits, et les organisations hybrides. Il y a aussi les ONG et les associations professionnelles, qui tentent d'accroître la capacité collective à résoudre ces problèmes grâce à des partenariats public-privé. Les membres de ces trois communautés sont en interaction constante, au sein des communautés et entre elles, et ces interdépendances sont définies par trois modes principaux qui influencent la nature bénéfique ou néfaste de ces relations. Le premier mode d'interaction est la concurrence, qui favorise l'innovation, mais peut aussi détourner les incitatifs à appliquer des pratiques de sécurité si elles sont perçues comme des obstacles à l'obtention de nouvelles parts de marché et à l'accroissement de la rentabilité. Il y a concurrence entre les groupes de cybercriminalité et, malheureusement, parfois entre les organismes de sécurité. Le deuxième mode d'interaction est la prédation, plus prévalente entre des groupes d'acteurs de différentes communautés lorsqu'un groupe en attaque un autre en prétendant (inaudible) des ressources ou pour le neutraliser. Toutefois, comme dans le monde naturel, les caractéristiques de la cybersécurité et de l'écosystème de la cybersécurité font en sorte que de très petits groupes ou encore une seule personne peut parfois lancer des actions prédatrices contre un grand nombre de victimes, et parfois même contre des organisations de sécurité. Et la vitesse d'adaptation entre prédateurs et proies est également beaucoup plus rapide que dans le monde naturel, ce qui signifie que divers acteurs doivent innover constamment et être prêts à des changements très imprévisibles. Enfin, il y a la coopération. Je crois que l'écosystème de la cybersécurité dépend aussi dans une large mesure de la coopération entre la sécurité et l'industrie pour atténuer les répercussions de la cybercriminalité. Et je pense que c'est dans le renforcement de ces efforts de coopération que nos options stratégiques semblent les plus attrayantes. Donc, à ce stade, vous pourriez sûrement vous demander ce que cette application du concept écologique à la sécurité et à la cybercriminalité (inaudible) a à voir avec les statistiques. Eh bien, si nous voulons concevoir et mettre en œuvre des politiques efficaces qui tiennent compte de cette complexité et qui réussissent à tirer parti des liens positifs que j'ai mis en évidence tout en réduisant les externalités négatives, nous avons besoin de données fiables pour chacune des trois communautés qui composent l'écosystème. Nous devons également être en mesure de suivre l'incidence des relations de concurrence, de prédation et de coopération sur la cybercriminalité. Veuillez passer à la diapositive suivante, s'il vous plaît.
Yvan Clermont : Merci Benoît. Il vous reste une minute, je crois. Merci beaucoup.
Benoît Dupont : J'ai presque terminé. Donc, ce que j'allais dire, c'est que nous devons commencer à réfléchir à la diversité des mesures que nous devons suivre et comprendre le genre de sources de données non conventionnelles qui peuvent contribuer à cette compréhension plus large; je pense ici aux forums sur la cybercriminalité ou aux fournisseurs de services Internet qui peuvent être des sources très intéressantes de statistiques très utiles. Je ne passerai pas en revue la diapositive, mais j'y ai énuméré quelques exemples qui montrent comment, pour être efficace, la politique nationale en matière de cybersécurité devra regrouper des sources de données très disparates pour mesurer les résultats en matière de cybersécurité sous différents angles, qui comprennent les enquêtes sur la victimisation de Statistique Canada, les statistiques policières, mais aussi les statistiques du secteur privé et des assureurs, et nous pourrions aussi essayer de mesurer les profits illicites qui sont générés au cours du processus. En conclusion, je pense qu'il n'y a jamais eu autant de données disponibles, alors le principal message de mon exposé est un message d'espoir, et je pense que la principale contrainte à ce stade-ci est probablement notre imagination et qu'il y a beaucoup de choses que nous pouvons faire pour améliorer les mesures dont nous avons besoin pour offrir de meilleures mesures de prévention et d'atténuation, c'est-à-dire des politiques pour limiter les répercussions négatives de la cybercriminalité.
Yvan Clermont : Avant de poursuivre, j'aimerais demander aux participants à WebEx de mettre leur microphone en sourdine, car nous avons un certain nombre de personnes qui ne l'ont pas fait et cela cause des problèmes de qualité du son en ce moment. Dans n'importe quel écosystème, nous constatons qu'il y a très souvent un système d'intégration des données qui est essentiel pour nous aider à tout le moins évaluer où nous en sommes, la façon dont le problème évolue et les répercussions de nos interventions, et aussi pour nous guider dans la façon dont nous devrions favoriser l'innovation dans ce domaine afin de nous assurer que nous n'agissons pas en vain. Dans cette optique, rapidement, à la suite de votre exposé, Benoît, j'aimerais entendre un peu les gens qui sont avec nous aujourd'hui. J'aimerais donc demander aux experts ici présents s'ils veulent réagir à votre exposé et peut-être apporter un peu plus d'information. J'aimerais commencer par Jeff. Jeff, si vous voulez bien commencer et nous faire part de vos impressions et de vos réflexions au sujet de l'exposé de Benoît, après quoi nous poursuivrons avec Signy et Barry.
Jeff Adam : Merci. Merci Benoît. Je suis heureux d'entendre de nouveau ce point de vue de l'extérieur. Je me demande si les écosystèmes pourraient être un peu élargis pour inclure le grand public ou les groupes d'utilisateurs. Nous constatons que ce groupe contient le plus grand nombre de victimes et pourtant ce n'est pas ce marché qui est le moteur de l'industrie et de la sécurité. L'objectif de la sécurité force à répondre aux événements criminels et ces trois éléments fonctionnent très bien ensemble dans cet écosystème, mais je pense que ce sera les groupes d'utilisateurs qui seront à la fois victimes et moteurs d'évolution de la technologie, de la réglementation et de la législation. C'est tout ce que j'avais à dire. C'était très bien fait. Merci.
Yvan Clermont : Très bonne question, Jeff. J'aimerais que vous nous disiez, Signy, si vous avez une réflexion à faire sur la présentation de Benoît.
Signy Arnason : Oui, bien sûr, merci Benoît. Pour ce qui est des écosystèmes et de ce que nous voyons encore dans notre domaine, je vais parler précisément du contenu montrant l'exploitation sexuelle d'enfants et de ce qui arrive aux enfants en ligne. Pour ce qui est de l'industrie, elle n'est pas réglementée, du moins les fournisseurs de contenu ne le sont pas, et les réponses sont variées. Certains fournisseurs retireront des documents sans hésiter, d'autres entameront de longs débats, d'autres ignoreront les avis. Il y a un manque total de transparence quant à la façon dont cela est mis en œuvre, alors l'idée de prendre des listes de hachage et d'essayer de détecter cela de façon proactive sur les services… il n'y a aucun moyen de savoir si les entreprises le font réellement. Donc, le manque de transparence est un énorme problème de notre côté avec les enfants, et ensuite il y a les aspects criminels, sachant que la police est inondée de ce que vous savez, de jeunes enfants, de tout-petits, de bébés violés sexuellement, cela étant enregistré, partagé en ligne... et l'urgence d'identifier ces enfants. Une grande partie de ce dont il est question en ligne, ce sont les contenus historiques, de sorte que beaucoup de ces enfants sont maintenant des adultes et vivent avec la réalité que ce contenu est échangé à perpétuité, et les expériences traumatisantes qui en découlent sont des choses auxquelles nous ne nous sommes pas convenablement préparés ou que nous n'aurions même jamais pu prévoir. Il ne fait donc aucun doute que les enfants sont une considération secondaire dans tout ce modèle et ce système écologique. Leurs droits et leur protection ne sont pas une priorité, et notre organisation estime qu'ils devraient l'être. Et certains renseignements que je vais vous transmettre dans un instant fourniront, je l'espère, ce contexte important.
Yvan Clermont : Merci beaucoup, Signy, pour ce commentaire. J'aimerais demander à Benoît de nous donner une réponse au sujet de la place des victimes dans cet écosystème après la période des questions. Mais j'aimerais d'abord poursuivre... il ne faut pas oublier le temps dont nous disposons cet après-midi et le retard qu'il y a eu au début. Donc, après l'exposé de nos trois experts, si c'est possible, nous pourrions peut-être nous limiter à huit minutes environ. J'aimerais donc commencer par Barry, en vous demandant d'axer votre exposé sur le travail que vous faites et ce que fait le CANAFE dans ce domaine et le rôle qu'il joue dans la cybercriminalité et la cybersécurité, s'il vous plaît.
Barry MacKillop : Les utilisateurs, le grand public, mais aussi les utilisateurs, comme les grandes banques et d'autres qui utilisent ces outils... et je suis d'accord avec Signy pour dire que nous devons faire intervenir les victimes. Et je pense que le concept de prévention, quand on parle de prédation et de collaboration, et du côté criminel, je pense qu'il faut parler de prévention, d'éducation, même dès la petite enfance. Je vais donc sauter ce sujet parce que je ne travaille plus en sécurité publique et je ne parlerai pas d'intervention auprès de la petite enfance ou de quoi que ce soit d'autre. En ce qui concerne la prévention, je vais parler du CANAFE. Je suppose que la grande majorité des gens ne savent pas vraiment ce qu'est le CANAFE. Si vous voulez un cours 101 sur tout ce que nous faisons au CANAFE, cela dure environ une heure, alors détendez-vous... non, je plaisante. Je vais passer notre rôle en revue très rapidement. Quelques points : premièrement, nous sommes l'Unité du renseignement financier (URF) du Canada, ce qui signifie que nous recevons des rapports d'un certain nombre d'entités déclarantes. Il y a neuf secteurs, environ 31 000 entités déclarantes, mais comme nos grandes banques et nos grandes entreprises de services monétaires fournissent de 90 à 95 % de tous nos rapports, alors nous concentrons une grande partie de nos efforts sur celles-ci. Pour ce qui est du modèle de partenariat public-privé, ce que nous avons fait, c'est que nous avons évolué au fil des ans, nous avons toujours travaillé en étroite collaboration avec nos partenaires d'application de la loi en matière de sécurité nationale, nos URF homologues à l'échelle internationale avec lesquelles nous avons travaillé en étroite collaboration. Jusqu'à il y a peut-être trois ou quatre ans, les entités déclarantes étaient essentiellement des entités déclarantes et notre rôle de réglementation au CANAFE était de veiller à ce qu'elles fassent des déclarations en vertu de la LRPCFAT, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. J'espère qu'il y aura beaucoup de temps pour les questions après mon exposé. Mais ce que nous avons commencé à faire, c'est d'examiner s'il y a une meilleure façon de travailler ensemble, s'il y a une meilleure façon de considérer certaines de nos grandes entités déclarantes comme des partenaires plutôt que simplement des entités que nous réglementons. Et s'il y a moyen d'établir un équilibre, étant donné que je suis le directeur adjoint des opérations et que je m'occupe à la fois de la réglementation et du renseignement… s'il y a moyen d'établir un équilibre entre nos besoins en matière de renseignement et notre rôle de réglementation, de sorte que nos entités déclarantes participent à la prestation de renseignements de meilleure qualité sans nécessairement avoir l'impression qu'elles seront touchées du côté de la réglementation? C'est un équilibre intéressant et je pense que nous l'avons bien établi. Si nous regardons notre modèle de partenariat public-privé (PPP), nous avons des organismes gouvernementaux, des institutions financières, des ONG dans certains cas, selon le sujet, parce que le modèle de partenariat public-privé a tendance à être axé sur les sujets. Et nous travaillons avec toutes ces personnes ainsi qu'à l'échelle du gouvernement au Canada, et notre rôle est vraiment de travailler avec nos entités déclarantes, dans ce cas-ci certaines des grandes banques, et de développer (inaudible) nos partenariats d'application de la loi et d'élaborer des indicateurs financiers qui sont aussi uniques que possible pour identifier les crimes liés au blanchiment d'argent afin qu'ils puissent ensuite les intégrer dans leurs systèmes et développer les modèles et les outils nécessaires pour mettre en évidence les transactions suspectes. Nous recevons beaucoup de déclarations sur les seuils de déclaration, de grosses sommes électroniques en espèces à l'intérieur et à l'extérieur du Canada, et les déclarations les plus importantes que nous recevons sont les déclarations d'opérations douteuses (les DOD) que nous envoient toutes nos entités. Il n'y a pas de seuil et ils peuvent les examiner, et ce sont les demandes pour lesquelles nous essayons d'aider à concevoir leurs propres outils, afin qu'ils puissent repérer les tendances suspectes qui sont liées à quelque sujet que ce soit du partenariat public-privé. Nous avons maintenant trois… quatre partenariats et il s'agit probablement de la voie de l'avenir de continuer de développer ceux-ci pour les infractions sous-jacentes. Plus leurs systèmes sont raffinés, plus ils permettent de détecter les opérations douteuses, moins ils sont susceptibles d'avoir de faux positifs, et plus la qualité et la quantité des déclarations d'opérations douteuses que nous recevons au CANAFE sont bonnes. Donc, si vous regardez le projet Protect, c'est le premier que nous avons fait. Il a été mené par la Banque de Montréal. En fait, le CANAFE ne dirige pas les partenariats public-privé, nous y participons et nous demandons habituellement à l'une de nos grandes banques de les diriger. Dans ce cas particulier, c'est lié à la traite des personnes. Cela a commencé lors d'une conférence de l'ACAMS, nous étions présents, la Banque de Montréal était là, (inaudible), qui était une survivante de la traite des personnes a parlé et elle a essentiellement mis les institutions financières dans la salle au défi d'agir pour aider à réduire la traite des personnes au Canada. La Banque de Montréal a levé la main et s'est portée volontaire tant et aussi longtemps que le CANAFE participait avec eux. Nous avons immédiatement donné notre accord. Nous avons travaillé avec eux, les organismes d'application de la loi et d'autres ainsi que les ONG, tant au pays qu'à l'étranger, pour élaborer des indicateurs propres à la traite des personnes en vue de l'exploitation sexuelle. Cela va probablement évoluer vers l'esclavage ou le transfert d'organes également, nous en avons élaboré d'autres sur l'utilisation du fentanyl ainsi que les arnaques romantiques et l'utilisation de casinos pour blanchir de l'argent. Donc, si nous observons le projet Protect, il y a une alerte, une alerte opérationnelle relative aux indicateurs sur notre site Web si quelqu'un est intéressé. Mais si vous regardez l'effet que cela a eu, en 2015, nous avons eu 450 DOD, les déclarations d'opérations douteuses qui sont arrivées, nous n'avions fait qu'environ 19 divulgations à l'époque. L'an dernier seulement, nous avons traité 201 divulgations de renseignements sur la traite de personnes au pays ou à l'étranger et nous avons reçu bien plus de 3 600 DOD en ce qui a trait à la traite de personnes. Ce qui est à la fois une bonne et une mauvaise chose. Malheureusement, la traite des personnes demeure un problème important au Canada. Et on parle ici du volet de l'exploitation sexuelle, c.-à-d. de l'esclavage humain, surtout de jeunes femmes. Et comme vous pouvez le voir, à mesure que les déclarations augmentent, tant sur le plan de la qualité que de la quantité, notre capacité au CANAFE de faire des divulgations proactives augmente, c'est-à-dire que je dis à Jeff : voici un crime, voici un criminel qui commet des crimes dont Jeff n'est pas encore au courant. Il s'agit donc d'une capacité proactive d'aider à régler certains de ces problèmes et de s'attaquer à certains de ces réseaux avant, en fait, qu'ils soient trop avancés dans ce qu'ils font. Et cela, comparativement à 2015, où nous étions à peu près à 50-50 sur le plan réactif, où nous réagissions lorsque la police nous disait qu'elle poursuivait quelqu'un, par opposition à ce que nous pouvons repérer nous-mêmes. C'est difficile à voir, mais essentiellement, les quatre étapes de ce que nous voyons dans la traite des personnes sont le leurre ou le recrutement; le conditionnement; la coercition et la manipulation et l'exploitation. L'utilisation des renseignements financiers et ce que nous pouvons faire, ce que certains des indicateurs mis au point pour chacune de ces étapes peuvent révéler. Ces renseignements sont fournis à toutes nos entités déclarantes. La plupart de nos grandes banques font beaucoup de rapports à ce sujet et nous voyons apparaître de très, très bonnes déclarations d'opérations douteuses. Nous avons eu beaucoup de succès à l'échelle nationale et internationale. Nous avons aidé à démanteler des réseaux qui se répandaient au Portugal, par exemple, et je crois qu'il s'agissait d'une affaire de la police de Toronto. Donc, il y a souvent des composantes internationales dans ce qui se passe au Canada, tout comme pour la plupart des crimes cybernétiques. Et c'est essentiellement ce que nous avons découvert, lorsque nous préparons une divulgation financière, nous préparons un graphique (inaudible) qui montre les connexions, que ce soit par des adresses de courriel, des transactions financières, des numéros de téléphone; tout ce que nous avons dans notre banque de données, nous allons l'utiliser. Nous sommes une URF administrative, nous ne faisons pas de travail secret, nous ne faisons pas de recherche sur le Web invisible. Nous avons recours à des sources ouvertes et nous nous fions aux transactions financières que nous avons reçues. Et ce qui est curieux dans ce cas-ci, ou ce qui est bien, ce sont ces points verts. Les points bleus désignent essentiellement tous ceux que la police connaissait, les points rouges désignent des personnes que nous avions identifiées par nos transactions, et les points verts désignent en fait des femmes disparues qui avaient été identifiées par les transactions financières et que la police n'avait pas encore trouvées. Elles avaient été portées disparues, et nous avons pu diriger la police vers certaines de ces femmes portées disparues. C'était donc extrêmement satisfaisant pour notre travail et pour mes analystes qui ont pu le faire. Et cela a permis de montrer que le travail que nous faisons et celui que nos entités déclarantes font en première ligne ont vraiment une incidence sur la vie des Canadiens.
Yvan Clermont : Ici après, si nous en avons le temps… nous parlerons des obstacles auxquels nous sommes confrontés et des mesures que nous pouvons prendre pour rendre ce travail encore plus fructueux ou plus productif. Nous avons donc une autre présentation très intéressante. Cette fois-ci par Signy Arnason, du Centre canadien de protection de l'enfance, et c'est un autre exemple de la façon dont la technologie peut permettre la détection et aider les victimes également. Alors, Signy, si vous nous entendez, vous pouvez commencer. J'aimerais… nous aimerions vous entendre sur le travail que vous faites au Centre canadien de protection de l'enfance dans ce domaine, s'il vous plaît.
Signy Arnason : Merveilleux. Je vais donc commencer par... Nous pouvons sauter à la diapositive en décrivant simplement la ligne de signalement, la première diapositive. Si nous pouvions faire cela. Donc, comme je l'ai mentionné, nous avons un rôle unique dans ce domaine. Nous exploitons la ligne nationale de signalement depuis maintenant 17 ans, nous sommes intégrés à la stratégie nationale du gouvernement du Canada depuis mai 2004. Vous pouvez constater progressivement, au fil des ans, ce que nous avons dû gérer en matière de signalements publics. Toutefois, en 2017-2018, puis en 2018-2019, ces chiffres commencent à changer considérablement, et c'est principalement grâce à notre travail avec le projet Arachnid, dont je vais parler dans un instant. Donc, essentiellement, la ligne de signalement a deux volets à son mandat, qui est de recevoir les rapports des Canadiens, de traiter ces renseignements, de les transmettre aux organismes d'application de la loi ou de protection de l'enfance pour qu'ils fassent enquête. Ensuite, nous gérons le volet éducatif. Donc, si on pouvait passer à la diapositive suivante... Ne faites pas jouer la vidéo, désolée, la prochaine diapositive qui parle des survivants. Je vais vous donner un peu de contexte pour vous expliquer comment nous abordons cette question du point de vue de la technologie. Mais en 2016, nous avons entrepris une première enquête en son genre, vraiment, dans le monde, à savoir l'Enquête internationale auprès des survivants. Quand nous avons commencé, nous pensions que si nous réussissions à avoir 20 répondants, ce serait assez extraordinaire, parce qu'il ne faut pas oublier qu'il s'agit d'une population que l'on ne voit que dans le contenu et dont on n'entend jamais parler. Donc, nous nous sommes aventurés à établir des liens avec des groupes de survivants partout dans le monde et, en fait, nous avons obtenu la participation de 150 répondants lorsque nous avons évalué les résultats. Une bonne partie de l'information qui nous a été fournie est certainement intuitive, mais cela a tout de même été incroyablement important pour nous de reconnaître qu'il ne fait aucun doute que l'enregistrement des agressions sexuelles a un effet important sur la victime pendant toute sa vie. Donc, aujourd'hui, les victimes peuvent être en sécurité, le contrevenant est peut-être en prison, mais ce qui leur est constamment répétée c'est qu'il n'y a rien que nous puissions faire au sujet de la diffusion continue du contenu sur Internet. Je ne vais pas aborder les autres aspects de certaines de nos constatations... mais aux fins de cette présentation, nous avons aussi entendu des survivants au sujet des enregistrements, que près de 70 % d'entre eux s'inquiétaient constamment d'être reconnus. Donc, ce serait arrivé à des adolescents, qui sont maintenant adultes, et en fait 30 % d'entre eux ont été identifiés par une personne qui avait vu l'enregistrement de l'incident de violence sexuelle datant de leur enfance. Donc, c'est un enjeu incroyablement important. Alors, passez à la diapositive suivante... Nous avons décidé que, comme la police est de toute évidence inondée, et qu'elle ne peut pas suivre tous les dossiers qui s'empilent sur son bureau, il nous faut une multitude d'approches et une organisation comme la nôtre pour nous attaquer à ce problème. La façon dont nous investissons dans la technologie et notre capacité d'envoyer des avis est quelque chose qui peut aider considérablement les victimes dans la population des survivants, nous avons décidé de créer le projet Arachnid. Alors, je vais vous montrer une petite vidéo, juste pour que vous compreniez essentiellement de quoi il s'agit.
Vidéo du projet Arachnid : Chaque fois que je vois quelqu'un me regarder, je me demande s'il le sait. S'il a vu les photos. Parfois, j'ai l'impression d'être exploité de nouveau. Dans les ténèbres du Web, chaque jour sous le couvert de l'anonymat, la technologie est utilisée à mauvais escient pour partager des images d'exploitation sexuelle d'enfants dans le monde entier. Et avec chaque partage, les victimes sont forcées de revivre la violence encore et encore. Pour combattre le feu avec le feu, le Centre canadien de protection de l'enfance a créé le projet Arachnid. Des robots d'indexation virtuels qui parcourent l'Internet pour trouver et retirer des images d'exploitation sexuelle d'enfants. Pour repérer ces images, Arachnid utilise une combinaison révolutionnaire de la technologie de l'ADN photographique de Microsoft et des empreintes digitales numériques obtenues d'institutions comme la GRC et Interpol. Maintenant, même si l'image a été recadrée, reformatée ou augmentée de quelque façon que ce soit, les robots trouvent les images correspondantes et contribuent à leur suppression. Le projet Arachnid est un grand pas en avant pour aider les victimes de violence sexuelle durant l'enfance à reprendre leur vie en main. Mais le champ de bataille change chaque jour, à mesure que la technologie évolue et que les contrevenants trouvent de nouvelles façons de faire des victimes et d'échapper à la justice. Et alors que nous nous engageons à lutter sans relâche en combattant sur les premières lignes tous les jours, nous avons besoin de votre soutien. Alors, veuillez partager cette vidéo et aidez à briser le cycle de la violence.
Signy Arnason : Donc, pour ce qui est de la diapositive suivante... Essentiellement, qu'est-ce que le projet Arachnid? Il s'agit d'une plateforme qui vise à réduire la disponibilité du contenu montrant l'exploitation sexuelle d'enfants. Elle est axée sur les victimes et non sur les contrevenants. Notre objectif est donc de faire retirer le contenu le plus rapidement possible afin que les survivants n'aient pas à vivre avec l'horrible réalité de devenir une série d'images en ligne qui est partagée à grande échelle, ce que vivent aujourd'hui un certain nombre de nos survivants de la première génération. Et vous le verrez lorsque je vous montrerai le tableau de bord du projet Arachnid. Donc, nous trouvons du contenu montrant l'exploitation sexuelle d'enfants en nous fondant sur des correspondances d'ADN avec photo et c'est parce que, encore une fois, les images sont altérées ou recadrées et nous voulons pouvoir arriver à trouver les aiguilles dans la botte de foin qu'est Internet. Mais il y a aussi l'intelligence humaine qui alimente Arachnid. Lorsque nous détectons ce contenu, c'est-à-dire du contenu montrant l'exploitation sexuelle d'enfants, nous envoyons un avis aux fournisseurs de contenu pour leur demander de le retirer. Donc, en ce qui concerne le déroulement du travail, je ne passerai pas beaucoup de temps là-dessus, ça devient assez compliqué, mais nous sommes sur le Web ouvert ainsi que sur le Web invisible. Nous incorporons non seulement les robots d'indexation, mais aussi les analystes… Si vous pouvez passer à la diapositive suivante. Donc, si les analystes identifient un forum ou une salle de clavardage en particulier qui semble être expressément consacré aux enfants et à ceux qui ont un intérêt sexuel pour les enfants, disons que cela s'appelle « inceste avec la fille de papa », toutes les images et les vidéos de ce forum seront récupérées et mises dans Arachnid aux fins d'évaluation par les analystes. Il y a une interface de programmation d'applications de l'industrie qui permet aux gens de nous signaler ce genre de contenu, alors il y a un certain nombre d'aspects différents; les résultats et les avis qui sont envoyés. Donc, si vous faites la lecture de ceci, cela ressemblera à un robot d'indexation en temps réel. Cela a en quelque sorte été enregistré comme une vidéo, mais essentiellement, ce que vous regardez là, c'est dans le cadre du projet Arachnid. Nous avons analysé près de 77 milliards d'images, encore une fois à la recherche de contenu montrant l'exploitation sexuelle d'enfants. En deux ans et demi, nous avons détecté près de 9,5 millions d'images suspectes. Nous avons envoyé plus de trois millions d'avis aux fournisseurs de contenu pour leur demander de les retirer, et enfin, vous pouvez voir du point de vue d'une victime… c'est la fréquence à laquelle Arachnid détecte une série particulière. Donc, l'idée que les survivants vivent avec les conséquences traumatisantes de se demander qui a regardé le contenu montrant leur expérience d'exploitation sexuelle et quand, et s'il est utilisé pour conditionner des enfants, est évidemment un problème important. Donc, on envoie environ 22 000 avis par jour. En ce qui concerne la prochaine diapositive et la réponse mondiale, la technologie est certainement impérative, mais nous ne pouvons pas résoudre le problème seulement avec la technologie. Nous devons augmenter le bassin d'analystes qui contribuent à l'évaluation de l'arriéré des images. Donc, nous travaillons avec des lignes d'appel partout dans le monde. Nous ne pouvons plus aborder le contenu d'exploitation sexuelle des enfants à partir d'une évaluation géocentrique. Nous avons des lois différentes partout dans le monde, des changements de contenu… les contrevenants en profitent et il en résulte essentiellement qu'une tonne de ce contenu est disponible sur Internet, alors nous devons mettre nos ressources en commun et travailler dans le même système pour envoyer ces avis de retrait. Il y a un flux de travaux prévisible qui découle de cela et qui permet aussi d'informer d'autres analystes du monde entier pour savoir s'il s'agit d'une victime identifiée qu'ils voient dans l'image, à quelle série elle appartient, si l'âge a été déterminé, ce qui permet de s'avoir s'il faut envoyer un avis ou non. Si c'est une personne de 17 ans, c'est illégal, si elle a 18 ans, ce n'est évidemment pas le cas. Donc, pour ce qui est de la réponse de l'industrie à cette question, nous envoyons des avis à plus de 300 fournisseurs dans le cadre du projet Arachnid. Nous voyons une variété… allons à la diapositive suivante. Comme je l'ai mentionné plus tôt, il y a toutes sortes de réponses, des réponses proactives… et les grandes entreprises sont très bonnes dans ce domaine. Des réponses rapides, les petites entreprises sont généralement plus rapides pour retirer le contenu, les grandes entreprises plus lentes. Pour la tranche supérieure de 50 %, le contenu est retiré en une journée, pour la tranche inférieure de 10 %, cela prend 30 jours ou plus. Tant que les fichiers restent en place, cela permet à d'autres contrevenants de s'emparer du contenu, de continuer à l'échanger… vous pouvez voir le problème inévitable que pose ce modèle. Enfin, je vais conclure rapidement en parlant de l'importance des données. Donc, Arachnid a vraiment changé les règles du jeu, il brosse un tableau, il raconte l'histoire de ce qui se passe à l'échelle mondiale en ce qui concerne le contenu d'exploitation sexuelle des enfants, auquel les Canadiens ont accès, peu importe qu'il soit sur un serveur aux Pays-Bas, pour les Canadiens cela ne fait aucune différence, nous n'en avons aucune idée, et il est possible d'avoir accès à ce contenu s'il est disponible. Nous constatons donc que les réponses varient. Nous savons que pour le retrait, nous sommes trop dépendants des définitions du droit pénal, cela ne nous aide pas. Donc, nous pouvons intervenir dans seulement 42 % des images liées à des victimes connues. Donc, habituellement, là où il y a de la fumée, il y a du feu. S'il y a une image illégale d'un enfant connu qui a été victime de violence sexuelle, alors pourquoi ce contenu est-il affiché et cela soulève la question de savoir ce qui se passe. Il y a l'approche incohérente que nous devons régler pour nous attaquer aux risques à long terme pour les survivants, ce que nous ne faisons pas adéquatement. Il y a une application arbitraire des conditions de service et une volonté d'utiliser des publications inattaquables qui rendent le retrait des images d'exploitation sexuelle d'enfants beaucoup plus complexe que notre capacité de nous y attaquer. Arachnid fournit ces renseignements essentiels qui racontent une histoire afin que nous commencions à mieux comprendre comment nous devons nous adapter… essentiellement comment nous attaquer à ce problème très sérieux en ligne.
Yvan Clermont : Merci, Signy, c'est un travail fantastique que vous faites, et vous semblez produire des mesures très intéressantes avec votre robot d'indexation Web et tout cela d'une façon très novatrice. Donc, s'il nous reste du temps à la période de questions, j'aimerais beaucoup entendre parler de l'incidence que vous avez sur les victimes par la suite. Alors, jusqu'à maintenant, nous avons entendu parler des entreprises, du milieu de la sécurité, des criminels et de leur interaction et surtout… plus important encore, des victimes. Maintenant, j'aimerais vraiment que vous nous parliez des services de police dans le milieu de la sécurité et, Jeff, j'aimerais vous céder la parole pour que vous nous parliez du merveilleux travail que vous faites dans ce domaine également.
Jeff Adam : Merci. Le Centre canadien de protection de l'enfance fait du bon travail, c'est certain. L'un de mes secteurs est le Centre canadien de police pour les enfants disparus et exploités, qui a toujours été un bon partenaire pour lutter contre ce que j'appellerais le fléau d'Internet. C'est-à-dire le contenu d'exploitation sexuelle d'enfants qui s'y retrouve. Pour revenir un peu en arrière, l'un des points clés avec lesquels les policiers sont aux prises est les attentes des Canadiens à l'égard de la cybercriminalité. Et j'affiche cette diapositive à l'écran pour faire valoir un point ici. Et… en 1829, il y a eu les principes de maintien de l'ordre de Peel. Monsieur Robert Peel a pris en charge les services de police à London, et il a trouvé trois principes fondamentaux sur lesquels repose le maintien de l'ordre : l'ordre public, la sécurité publique et l'application de la loi. C'est bien quand ces trois sommets du triangle se trouvent dans la même région géopolitique. Autrefois, ils étaient dans le même village, puis c'est devenu la même ville, la même province, et ensuite dans les frontières des pays… le téléphone est arrivé un peu plus tard. Le téléphone a changé cela parce qu'on pouvait prendre un téléphone et appeler quelqu'un à distance et le menacer. Où l'infraction a-t-elle eu lieu? Donc, ce qui est intéressant, c'est que notre notion complète de maintien de l'ordre est fondée sur le fait que la responsabilité des services de police est assumée par l'administration où se trouvent les victimes et le tribunal… mais le contrevenant n'est nulle part. Il pourrait être n'importe où. Donc, ça a vraiment brisé ce paradigme. Alors, revenons à ce que veulent les Canadiens : veulent-ils que les cybercriminels soient poursuivis? Oui, mais ils sont dans le sous-sol de leur mère en Bolivie. Comment composer avec ces attentes changeantes? J'ai la télécommande, j'allais cliquer. Le prochain élément, peut-être, vise simplement à nous assurer que nous sommes tous fondamentalement sur la même longueur d'onde quant à la définition de ce qui constitue ou non la cybercriminalité. Donc, si je prends mon téléphone intelligent et que je frappe Barry sur la tête, est-ce que ce serait un cybercrime? Alors, cela devient une question dans le but de déterminer ce qui constitue un cybercrime et ce qui n'en est pas. Et j'ai une analogie très simple pour ça, ou pour quoi que ce soit d'ailleurs : s'il y avait un interrupteur géant ici que je pouvais utiliser pour éteindre Internet, quels crimes continueraient et quels crimes ne continueraient pas d'avoir lieu? Et donc, si vous regardez ce diagramme, ceux qui se trouvent du côté droit de cet ovale cesseraient d'exister. Ce sont des cybercrimes. Tous les autres ne sont que de vieux crimes commis de nouvelles façons, avec de nouvelles façons d'avoir de multiples répercussions et de nouvelles façons de se soustraire aux poursuites. Alors, quand on dénombre les cybercrimes dans les diverses enquêtes et qu'on demande au public et à tout le monde s'ils savent ce qu'est la cybercriminalité lorsqu'ils disent : « oui, j'ai été victime d'un cybercrime »… S'agissait-il d'un courriel d'hameçonnage? Était-ce un balayage des ports? C'est quand quelqu'un vérifie si toutes les fenêtres de votre maison sont ouvertes ou fermées. Par exemple, il s'agit peut-être d'une tentative d'infraction, cette infraction est-elle signalée? J'espère que non, parce que cela se produit chaque jour des milliards de fois. Il n'y a aucun moyen de suivre le rythme. Donc, encore une fois, pour l'information recueillie, l'enquête doit savoir ce qu'elle demande et ce qu'elle cherche, avec des définitions claires de ce qui constitue un événement de cybersécurité par rapport à un cybercrime. Donc, je suis content que vous ayez soulevé l'affaire Desjardins, parce que ce n'est pas un cybercrime. Ce sont des données numériques qui ont été exfiltrées… C'est la même chose qu'une erreur dans un classeur rempli de documents, mais les répercussions sont beaucoup plus grandes parce qu'on peut déposer les données sur GitHub et un million de malfaiteurs peuvent y avoir accès. Donc, le simple fait de retirer les données n'est pas un cybercrime, mais l'activation, l'incidence et la portée de ce crime sont ce qui commence vraiment à comporter un volet de cybercriminalité. Et je suppose que c'est la raison pour laquelle j'ai mentionné à Benoît, après son exposé, que le groupe d'utilisateurs constituerait, selon moi, une partie très directe et pertinente de la cyberécologie qui existe actuellement. Si nous ne considérons que ces trois points de vue, nous allons passer à côté de la vue d'ensemble. Combien y a-t-il de personnes ici ou en ligne… Je ne vois pas vos mains, mais je peux vous poser une question simple : combien de personnes ont un iPhone? D'accord. Vous avez donc payé une prime pour une meilleure sécurité. Ce n'est pas le modèle d'affaires de l'économie d'aujourd'hui. Il y a d'abord le marché, obtenir la part de marché, la sécurité est prise en considération… non? Nous allons tout simplement ajouter un correctif plus tard. Et lorsque cela ne fonctionne pas, un autre correctif. Et si cela ne fonctionne pas, quitter le marcher. Donc, tout notre modèle repose sur la compréhension des principes fondamentaux de la sécurité par le groupe d'utilisateurs. Malheureusement, je vais maintenant inclure ma mère dans cette discussion. Parce qu'elle peut acheter un ordinateur portable demain et rouler sur la super autoroute sans permis. Sans la moindre idée. Et malheureusement, il y a beaucoup de gens qui se sentent complètement en sécurité, de mon âge et plus âgés, dans leur cuisine. Ils lisent le journal en ligne en sirotant leur tasse de café en pantoufles et robe de chambre. Ils se sentent tout à fait en sécurité. Par contre, si vous vous retrouvez au centre-ville de Détroit ou de Chicago ou dans une région douteuse, tous vos sens vous diront qu'il y a quelque chose qui cloche. Est-ce l'odeur, les visages, les sons, qu'est-ce qui vous indique cela? Eh bien, ma mère est dans sa cuisine, comme je l'ai dit, dans son peignoir, sa robe de chambre, avec un café et n'a aucune idée de ce qu'elle regarde. Et j'ose dire que ce serait le cas de tout le monde dans cette salle. Donc, malheureusement, ce n'est pas seulement ma mère, sinon je pourrais régler ce problème. Et la dernière partie dont j'aimerais parler est la raison pour laquelle la cybercriminalité se produit. Des incidents de cybersécurité se produisent. Et on peut grossièrement les regrouper dans ces groupes de ce qui motive les méchants. Et je pourrais lui parler pendant environ deux heures de l'organisation du crime organisé par rapport à la cybercriminalité. Autrefois, tous les élèves de 12e année en informatique sortaient pendant une semaine à Noël et le taux de cybercriminalité augmentait en flèche. Parce que tous les jeunes essayaient les choses qu'ils venaient d'apprendre au cours des trois semestres précédents dans le sous-sol de leur mère. C'est ainsi que cela fonctionnait, et à la fin de l'année scolaire, la même chose se produisait. Nous avons observé cette tendance, nous avons fait un peu de travail proactif avec les universités et les écoles secondaires et cela a commencé à diminuer. Ce que nous voyons maintenant, c'est que le crime organisé s'organise à ce sujet. Barry le sait parce qu'il s'occupe de l'envers de la médaille, soit de l'argent qui est acheminé aux criminels organisés. Ce qui est une partie distincte d'un groupe du crime organisé. Donc, ils ont des pirates, ils ont des hébergeurs, ils ont des programmeurs, ils ont des mules pour l'argent, ils ont du personnel, un service des ressources humaines du crime organisé, et ils travaillent tous séparément. Ils ont industrialisé la cybercriminalité. Ce n'est qu'un des groupes, c'est le jeu financier, le groupe du jeu financier. Il y a l'employé mécontent, une autre arrestation dont j'ai été témoin où le méchant n'a pas eu ses vacances quand il les a voulues et a littéralement effacé le serveur Web et a démissionné. Franchement, c'est une personne à l'interne, comme chez Desjardins. Ce qui est notoire, c'est qu'ils affichent quelque chose sur la page Web et qu'ils peuvent s'en vanter auprès de leurs amis…, ils utilisent les forums sur le Web invisible pour envoyer cela et dire : « C'était moi, parce que j'ai été le premier à publier cela ». Il y a les gens qui sont motivés par des considérations politiques ou idéologiques. Je suis certain que personne n'a entendu parler de la Chine en ce qui concerne le cyberespionnage. Il ne s'agit pas seulement des États-nations, mais aussi des groupes d'industriels et, comme Benoît l'a mentionné, des industries qui agissent en prédateurs les unes contre les autres. À essayer de devancer quelqu'un d'autre. Ah, l'autosatisfaction, bien sûr, le type de cybercrimes sur lesquels le Centre canadien de protection de l'enfance recueille des données. Et bien sûr, la raison pour laquelle c'est lucratif, c'est parce qu'ils en tirent de l'argent et qu'ils sont pratiquement intouchables. Donc, certaines des choses que nous essayons de faire avec l'Unité nationale de coordination de la lutte contre la cybercriminalité, comme je l'ai dit, c'est d'être la principale plateforme où le public peut signaler la cybercriminalité. Assurément, nous savons que nous allons recevoir toutes sortes de signalements, allant de menaces de mort par courriel aux images de quelqu'un qui a été battu qui sont publiées sur YouTube. Soit dit en passant, ces signalements ne constituent pas des cybercrimes. Nous savons que nous allons recevoir ce type de signalements. Mais nous allons pouvoir les classer pour voir si nous pouvons commencer à les diviser... nous allons pouvoir transmettre ces données aux forces policières de tout le Canada pour qu'elles puissent faire quelque chose. Pour ce qui est de l'exploitation sexuelle des enfants, cela a commencé de façon très semblable lorsque le centre a ouvert ses portes et a reçu des plaintes. Nous recevions des plaintes et nous avons commencé à les confier à des services de police municipaux et provinciaux. Il a fallu mettre sur pied des unités intégrées de lutte contre l'exploitation des enfants, et il y a maintenant 60 unités au Canada alors qu'il n'y en avait pas auparavant. La cybercriminalité ressemblera beaucoup à cela lorsque nous commencerons à dire que cela s'est produit dans votre région. Et là où la cybercriminalité est différente, c'est qu'un type peut toucher toutes les personnes dans cette pièce, peu importe où il vit. Et peut-être 25 000 autres personnes au Canada. Alors, quelle municipalité ou quelle autorité policière va s'occuper du dossier? Il faut une coordination. Il n'y a pas assez de policiers pour enquêter sur chacun de ces cas, alors nous aurons une unité de coordination pour le bien de tous. Voilà essentiellement où nous en sommes avec la cybercriminalité au Canada jusqu'à maintenant. J'encourage tout le monde à conduire en toute sécurité sur l'autoroute de l'information et à porter sa ceinture de sécurité. Merci.
Yvan Clermont : Merci, Jeff. Peut-être devrions-nous obtenir notre permis de conduire. Je vous remercie de cette perspective très intéressante sur la définition, les différents groupes, c'était très intéressant. Ce que j'aimerais faire maintenant, je pense qu'il nous reste du temps pour les questions provenant du Web. Ou les participants qui sont sur le Web, combien de temps avons-nous? Peut-être 15 ou 20 minutes. Et pendant que nous recueillons les questions, je pense que nous... Ce que j'ai compris grâce à la conversation que nous avons eue, c'est que dans l'écosystème de la cybercriminalité que nous avons actuellement, je pense que nous pourrions en dire un peu plus sur le rôle des données pour être au centre de cet écosystème et nous aider à surveiller et à mesurer l'incidence de nos interventions. Mais aussi, quelle est la place des victimes dans ce cadre? Alors, j'aimerais probablement commencer la conversation sur ces deux aspects et sur ce que vous voyez comme rôle du bureau statistique national ou des organismes dans ce rôle, surtout en ce qui concerne les données. Mais peut-être qu'avant, nous pourrions entendre Signy à propos de ce qui, selon elle, devrait être l'incidence sur les victimes, comment le travail qu'elle fait a une incidence sur les victimes et comment le mesure-t-elle. Peut-être pourrons-nous demander à Benoît ce qu'il pense de la place des victimes dans son cadre. Ensuite, nous pourrons avoir une conversation et voir quelles sont les autres questions provenant du Web. Alors, Signy, voulez-vous commencer?
Signy Arnason : Oui, bien sûr. Donc, ce que nous savons, c'est que les survivants ont toujours été plutôt absents de cette conversation et qu'ils doivent être au premier plan de ce dont nous parlons, par rapport à ce domaine. Il y a des répercussions énormes, je veux dire que dans les tribunaux, nous parlons souvent du fait d'interdire l'accès à Internet à une personne qui a été accusée et qui sera ensuite reconnue coupable de ce genre de crimes contre des enfants a une trop grande portée? Vous le savez, ils doivent postuler un emploi… il y a l'idée des services bancaires en ligne… est-ce trop restrictif? Nous ne parlons jamais du fait que les survivants n'ont même pas nécessairement la capacité de se réinsérer dans le monde en ligne parce qu'ils craignent énormément d'être contactés, ce qui a été le cas d'un certain nombre d'entre eux. Comment se protègent-ils, comment protègent-ils leur famille, de l'intérêt continu des contrevenants envers eux, même en tant qu'adultes, s'ils ont leurs propres enfants… il y a un dialogue qui existe en ligne concernant l'intérêt sexuel des contrevenants envers les enfants des survivants. C'est donc assez sombre, et troublant en ce qui concerne l'activité en ligne. Ce que je peux dire en matière d'espoir, c'est que lorsque nous avons commencé à parler aux survivantes, particulièrement aux Phoenix Eleven, un groupe de femmes qui figurent dans des séries populaires échangées en ligne qui font entendre leur voix et reprennent le contrôle. Lorsque nous avons commencé à leur parler d'Arachnid et de sa capacité de détecter le contenu historique, à un rythme que l'on ne peut pas trouver dans les rapports publics, puis de déclencher des avis, l'une des survivantes a pleuré parce que, bien sûr, le contrevenant a peut-être été traduit en justice, mais on dit toujours aux victimes qu'il n'y a rien à faire au sujet du partage continu du contenu. Et, franchement, notre organisation estime que c'est tout à fait inacceptable. Nous plaçons donc les survivants à l'avant-plan et il est grand temps que cela se fasse.
Yvan Clermont : Merci beaucoup pour ceci, Signy, très intéressant. Et j'aimerais vous entendre, Benoît, au sujet de la place potentielle des victimes dans ce cadre que vous avez pour l'écosystème de la cybercriminalité. Vous avez dû y penser, j'en suis sûr.
Benoît Dupont : Oui, je pense que Jeff a tout à fait raison, les victimes (inaudible) et les utilisateurs en général sont au cœur du cadre parce que la cybersécurité est un bien commun, elle ne devrait pas être un bien de luxe où seules les entreprises les mieux nanties peuvent se permettre des systèmes et des technologies qui sont cybersécuritaires et le reste d'entre nous a affaire à des technologies d'occasion qui ont été lancées sur le marché sans égard à la sécurité. Alors, qui peut parler au nom des victimes? Je pense que ce sont les organismes gouvernementaux qui doivent réglementer beaucoup plus cet écosystème, et c'est pourquoi j'utilise ce modèle de communautés de l'industrie, de la criminalité et de la sécurité, pour essayer d'expliquer comment cela fonctionne, parce que cela nous aide à comprendre où nous pouvons exercer des pressions réglementaires pour nous assurer que certaines entreprises font preuve d'un peu plus de prudence, selon ce que nous définissons et concevons. Des systèmes qui permettent aux victimes de signaler les cybercrimes très rapidement et très facilement en ligne, par exemple. Je crois comprendre que la GRC et le Service numérique canadien préparent une nouvelle plateforme inspirée de la plateforme Acorn en Australie pour faciliter cela. Donc, je pense que l'objectif ultime du cadre écologique est d'essayer de comprendre comment nous pouvons mieux offrir des services aux victimes, parce que maintenant, la cybercriminalité est le crime contre les biens le plus important dans les sociétés développées et elle se classe également très haut dans les infractions sexuelles, comme nous l'avons entendu. Nous devons donc concevoir de meilleurs systèmes, de meilleures façons d'intervenir et je pense que le cadre écosystémique nous aide à comprendre où commencer et comment évaluer l'efficacité de ce que nous faisons.
Yvan Clermont : Absolument, Benoît, et je pense à la préparation des victimes, à la culture numérique des victimes et aux tendances de la victimisation à l'extérieur de l'espace numérique, et à la façon dont elle interagit avec la victimisation sur le Web également. Je pense donc qu'il y a un important domaine de recherche et de considération pour les victimes. Nous avons maintenant une question qui vient du Web et elle s'adresse à Jeff. Alors, quel est le rôle de l'Unité nationale de coordination de la lutte contre la cybercriminalité de la GRC, Jeff?
Jeff Adam : Donc, le rôle de… pour cela, qui est mis sur pied à la suite d'une initiative de financement budgétaire de 2018, c'est qu'il s'agira d'environ, disons, d'une centaine de personnes et de quelques composantes. La première sera le système de signalement destiné au public qui permet aux gens de signaler des crimes commis en ligne. C'est de la cybercriminalité (inaudible). Il y a une autre étape, qui sera la partie analytique de l'entreposage des données. Nous recevrons toutes les plaintes, nous serons en mesure de les cartographier, nous serons en mesure de voir les points chauds, nous serons en mesure de voir s'il y a des tendances, des indicateurs. Une partie de l'analyse va se faire en collaboration avec le Centre de cybersécurité, qui va ensuite dire « oui, c'est quelque chose qu'on voit également circuler » lorsqu'il surveille les réseaux. C'est le Centre de cybersécurité. La prochaine étape pour nous sera le regroupement de ces renseignements, pour pouvoir les envoyer à un autre service de police. Cela nous permettra d'avoir une certaine expérience dans la façon d'enquêter, ou de coordonner une enquête sur ces questions à l'aide d'un certain contexte technique. La quatrième étape sera, bien sûr, la liaison internationale avec les partenaires, de sorte que nous aurons une personne à l'Europol et une autre à l'Alliance nationale d'intervention judiciaire et de formation contre la cybercriminalité. Cette personne assurera la liaison là-bas pour nous présenter le point de vue international parce que, comme je l'ai dit, la cybercriminalité n'est pas un problème canadien, c'est un problème international et nous devons être en mesure d'échanger des renseignements sur l'application de la loi, de service de police à service de police, ou de dire que le Canada a un hébergeur blindé à Montréal et que nous voulons faire quelque chose à ce sujet. C'est un problème à plusieurs facettes. C'est un exercice assez dynamique et complexe à entreprendre pour la GRC, la GRC qui est le service de police national, l'exercice est au profit de tous les services de police au Canada et financé pour eux.
Yvan Clermont : Merci beaucoup, Jeff. J'ai une autre question à vous poser, et elle s'adresse à tous les experts, dans une minute, pour donner un exemple ou deux. Quelles sont les lacunes les plus importantes concernant la mesure de la cybercriminalité et les efforts pour accroître la cybersécurité et comment procéderiez-vous? Quels seraient les principaux défis liés au fait de combler ces lacunes en matière d'information? Et peut-être que, si je peux essayer avec vous Barry, d'avoir une réponse, et peut-être Jeff si vous voulez renchérir. J'inviterais également Benoît à en parler.
Barry MacKillop : (inaudible) Jeff. Non? Eh bien, je pense que l'un des défis demeure probablement la capacité ou le désir des gens ou des entreprises d'être vraiment honnêtes... au sujet d'être des victimes, si vous mettez l'accent sur les victimes. Il serait certainement bon de sonder les criminels pour savoir ce qu'ils font, mais ils ne répondront probablement pas. Donc, étant donné qu'il s'agira essentiellement d'une enquête de type victimologie, il est toujours difficile d'obtenir la vérité. Mais je pense qu'il est important que nous le fassions. C'est la même chose, je crois, lorsqu'on examine les devises virtuelles, par exemple. Et tout le monde est prêt à inventer un bitcoin et toutes ces autres monnaies virtuelles. Même si je travaille dans le domaine du renseignement financier, je ne pourrais pas vous dire à quel point les entreprises s'en servent et à quel point les gens d'un bout à l'autre du Canada s'en servent. La monnaie virtuelle est-elle vraiment en train de devenir couramment utilisé par les ménages ou est-ce quelque chose qui est encore utilisé en grande partie par des criminels? Est-ce que cela devient courant pour les Canadiens et, si c'est le cas, cela pourrait mener à la façon dont nous voulons régler le problème et à ce que nous devons faire pour régler ce genre de choses. Si en fait c'est quelque chose qui est adopté comme l'argent comptant ou les services bancaires électroniques ou quelque chose du genre. Donc, je pense que ce sont des domaines où nous avons des lacunes en matière de connaissances.
Yvan Clermont : Alors, croyez-vous qu'une nouvelle loi pourrait aider à cet égard? Ou pour signaler à la police, par exemple, au sujet des entreprises?
Barry MacKillop : Je ne suis pas sûr qu'il s'agisse toujours de mesures législatives, mais je pense qu'il faut d'abord comprendre la loi et peut-être ensuite légiférer si nous devons légiférer. La pire chose que nous puissions faire, c'est de créer une loi sur la base d'une intuition, ce qui va normalement mener à une mauvaise loi.
Yvan Clermont : Merci beaucoup et Jeff, qu'en est-il de vous?
Jeff Adam : Donc, il y a eu beaucoup de conversations à ce sujet... Acorn, en Australie, exigeait que lorsque vous déclariez un crime, vous obteniez un numéro et ce numéro devait être signalé à la banque ou à l'assureur pour que vous puissiez récupérer votre argent, pour être indemnisé pour la perte d'un cybercrime. Ce que nous avons constaté, c'est que la déclaration était au départ très élevée, puis qu'elle a diminué parce que, nonobstant la mise en garde, elle disait de ne pas s'attendre à ce que la police intervienne à la suite de votre rapport, que nous utilisons cela pour des raisons de données, pour des statistiques. Les gens ont cessé de faire des signalements parce qu'ils voulaient leur dû. Cela nous ramène donc à « ce que les Canadiens attendent de ce nouveau modèle », où le contrevenant, la victime du crime, les tribunaux et la police ne sont pas dans la même juridiction. Ah… l'autre question que nous examinons est… ou du moins, ce dont nous discutons, ce serait une sorte d'ensemble d'exigences dictées par l'industrie qui orienteraient ensuite le secteur de l'assurance. Donc, si vous ne protégez pas les données de vos clients selon une norme établie, tout ce qui vous arrive ne sera pas couvert par une police d'assurance pour perte de données. Bon, cela a fait en sorte que beaucoup de gens disent « saperlipopette, Batman, ça va causer… ». Oui, oui, cela va causer des changements, mais cela pourrait être le bon moment de le faire, et la GRC, et moi-même en particulier, avons discuté de cette question avec les assureurs du Canada. Même à l'heure actuelle, il n'est pas obligatoire pour une personne ayant subi une perte dans le cyber environnement de la signaler à la police… cela doit changer.
Yvan Clermont : Merci beaucoup, Jeff, et j'aimerais entendre Benoît à ce sujet. Comment pouvons-nous intégrer... en utilisant l'interaction entre les différents éléments de l'écosystème, comment pouvons-nous avoir un système intégré de traitement de données qui aide l'écosystème à bien fonctionner dans la lutte contre la cybercriminalité. Donc, Benoît, j'aimerais savoir ce que vous en pensez, quelles sont les lacunes et comment nous pouvons y remédier.
Benoît Dupont : Donc, pour répondre à vos deux questions en même temps, je pense qu'il y a des victimes qui savent qu'elles ont été victimes d'un cybercrime parce qu'elles ont perdu de l'argent, mais il y a aussi, dans les cybercrimes, plusieurs victimes qui ont été infectées par des logiciels malveillants... leur machine est infectée par un robot et sert à faire des choses malintentionnées à d'autres personnes partout dans le monde. Et ils n'ont aucune idée qu'ils participent à ce genre d'activité malveillante. Donc, ils ne peuvent même pas le signaler parce qu'ils ne sont même pas au courant. Et une source intéressante de données à ce sujet est les fournisseurs de services Internet qui nous donnent tous accès à Internet, qui suivent ce genre d'activité malveillante. Et il serait intéressant, comme c'est le cas dans d'autres pays, que ces fournisseurs de services Internet travaillent en collaboration avec leur organisme de réglementation de l'industrie, soit le CRTC, pour essayer de fournir des statistiques plus fiables sur le niveau d'infection au Canada, entre les provinces, des utilisateurs généraux, des entreprises... Combien de machines sont infectées par des réseaux de zombies? Quel genre de trafic observons-nous au Canada et comment pourrions-nous concevoir des stratégies d'atténuation pour aider les gens à se débarrasser de ces méchants logiciels malveillants sur leurs ordis pour produire un écosystème numérique plus propre et moins nocif? Voilà donc un exemple de (inaudible) les pays qui ont utilisé leurs fournisseurs de services Internet et leur organisme de réglementation des télécommunications pour collaborer avec des organismes statistiques et des organismes d'application de la loi afin d'aider les gens à nettoyer leurs ordis et, en fin de compte, à bénéficier d'un écosystème plus propre.
Yvan Clermont : Merci, c'est une très bonne contribution Benoît. Pour conclure cette conférence, j'aimerais peut-être donner le dernier mot à Signy. Et vous écoutez sur ce que vous pensez être la lacune la plus importante en matière d'information qui… si vous aviez l'information, cela aiderait beaucoup plus votre entreprise et ce que vous faites pour protéger les victimes.
Signy Arnason : Eh bien, il y a deux côtés à cela. Je suppose que, du point de vue de l'industrie, nous avons besoin de beaucoup plus de reddition de comptes et de transparence. Prenez le projet Arachnid, par exemple, qui est un outil et une solution à l'échelle mondiale, qui n'affecte que de certains services. Donc, Facebook se barricade derrière un jardin fermé, nous n'avons aucune idée de ce que Facebook détecte… Il y a des schémas de signalement obligatoires qui sont signalés. Mais vous le savez, il y a des défis importants dans notre espace parce qu'il y a des lois différentes dans le monde, mais en même temps, comme je le mentionnais plus tôt, même si le site est sur un serveur aux Pays-Bas, des milliers de Canadiens au Canada ont toujours accès à ce contenu. Nous avons donc malheureusement abordé la question du contenu d'exploitation sexuelle des enfants et, je crois que, tous les crimes en ligne, d'un point de vue géocentrique et certainement dans notre espace, cela ne nous a pas aidés parce que le contenu bouge et que nous devons mieux travailler ensemble pour, en fait, supprimer le contenu qui est néfaste et ne pas nous concentrer exclusivement sur le droit criminel. Il y a donc plusieurs lacunes qui existent et nous ne serions toutefois pas en mesure de les relever sans avoir un système comme le projet Arachnid pour raconter cette histoire. Donc, je pense que c'est la première partie essentielle de ce que nous devons faire pour changer ce discours pour les enfants, afin que nous puissions commencer à nous attaquer à cette question non seulement du point de vue du droit criminel, mais aussi en fonction de ce qui est néfaste pour les enfants et faire en sorte que les fournisseurs de services agissent de façon plus responsable en ce qui concerne leur protection et leur sécurité. Encore une fois, comme nous le voyons avec Arachnid, ce n'est certainement pas le cas, du moins pas de façon uniforme, et si nous n'avons pas une uniformité générale, alors le contenu reste disponible et peut se propager. Il y a donc d'énormes problèmes à cet égard, et c'est certainement ce que nous allons réclamer en tant qu'organisation, c'est-à-dire des changements importants à cet égard.
Yvan Clermont : Merci beaucoup. Signy, c'est très vrai aussi… l'éducation. Barry et moi étions en train de chuchoter. Je pense donc que c'était un groupe très intéressant. J'aimerais conclure sur ceci. Je pense qu'il nous faudrait une conférence complète pour cela, il y a trop d'information, c'est très intéressant. J'aimerais conclure en remerciant, tout d'abord, les quatre experts que nous avons entendus aujourd'hui. Commençons par Benoît, Signy à Winnipeg, Barry et Jeff à mes côtés. Je vous remercie donc beaucoup de votre participation, ainsi que les personnes qui sont venues dans la salle aujourd'hui, et les gens qui sont sur le Web, qui nous envoient des questions et nous écoutent. C'était très bien. J'espère donc que vous envisagerez de vous joindre à nous pour la prochaine discussion de la série, qui aura lieu en septembre et dont le thème sera les emplois temporaires, les superstars et l'économie post-emploi et les compétences dont nous avons besoin au Canada à l'ère numérique. Alors, veuillez vous joindre à moi pour applaudir les experts d'aujourd'hui… alors, merci beaucoup. Merci, Benoît et merci, Signy. Et j'espère communiquer avec vous bientôt. Merci.
- Date de modification :