Cybersécurité : Le Canada pourrait devenir une puissance en matière de cybersécurité grâce à cette petite astuce

Par Laurent Carbonneau

Voici une réflexion troublante que j'ai entendue récemment de la part d'une personne travaillant dans le secteur de la cybersécurité : nous ne sommes probablement pas loin de cyberattaques réellement mortelles, si nous n'avons pas déjà franchi ce seuil indirectement.

Alors que de plus en plus d'ordinateurs et de capteurs sont intégrés dans des équipements de plus en plus "intelligents", la surface d'attaque de la cybercriminalité ne fera que croître de manière exponentielle au cours des prochaines années. Chaque année, les ransomwares et autres cyberattaques se multiplient. Au début de l'année, un ransomware a provoqué l'arrêt des systèmes de la chaîne de librairies canadienne Indigo pendant plusieurs semaines. C'est un moment fascinant pour les acteurs de ce secteur, et redoutable pour les pouvoirs publics.

Outre les risques réels que posent la cybercriminalité et les cyberattaques, le fait d'être un leader mondial dans le secteur de la cybersécurité offre également de réelles possibilités. Le Canada est déjà très présent dans ce domaine. Entre 2018 et 2020, le secteur de la cybersécurité au Canada a augmenté de près d'un tiers en termes d'emplois, d'activités de R&D et de revenus. Nous disposons d'une solide expertise nationale et sommes membres de nombreux clubs mondiaux, tels que l'OTAN et les Cinq Yeux, qui ouvrent leurs portes aux solutions canadiennes.

Il y a une véritable ironie dans l'appartenance à nos clubs. Nos alliés "Five Eyes" achètent trois fois plus de technologies, de produits et de services canadiens qu'Ottawa n'en achète lui-même. En fait, seuls 8 % des revenus du secteur proviennent de contrats avec le gouvernement canadien. Nous n'avons aucun problème à vendre des produits de cybersécurité canadiens à des entreprises canadiennes et internationales ou à des gouvernements étrangers. Là où le bât blesse, c'est dans la vente à notre propre gouvernement.

Avec tout le respect que je dois au gouvernement fédéral, ce n'est pas parce qu'il dispose d'une agence composée de développeurs de logiciels de cybersécurité chevronnés qui fabriquent des produits de premier ordre utilisés en interne et dont personne d'autre n'a jamais entendu parler. La vraie réponse est qu'il est difficile de s'y retrouver dans les marchés publics, et que les processus mis en place pour acheter des chars et des bateaux ne sont pas adaptés au monde plus fluide des logiciels de pointe, malgré l'existence de canaux qui devraient faciliter les choses.

Traditionnellement, les marchés publics fonctionnent selon un modèle basé sur la demande ou l'offre. Les pouvoirs publics lancent un appel d'offres ou de propositions pour répondre à leurs besoins ou invitent des fournisseurs à leur présenter des produits. Nous ne disposons pas d'un environnement dans lequel les acheteurs gouvernementaux peuvent avoir des conversations ouvertes avec les développeurs de produits au sujet de leurs besoins. Si l'on ajoute à cela des retards importants dans l'obtention des autorisations de sécurité et d'autres désagréments prosaïques, il n'est pas étonnant que les entrepreneurs canadiens du secteur de la cybersécurité préfèrent vendre aux Américains.

Les États-Unis disposent même d'un fonds de capital-risque dédié à la sécurité, In-Q-Tel, créé à la fin des années 1990 par la CIA, mais qui comprend désormais d'autres agences à trois lettres et le ministère de la sécurité intérieure. In-Q-Tel investit dans des entreprises et des produits prometteurs afin d'orienter leur développement vers la satisfaction des besoins gouvernementaux. Quelle que soit l'opinion que l'on peut avoir de l'establishment américain de la sécurité, il ne fait aucun doute que ce modèle a permis des avancées considérables - par exemple, Keyhole, qui est devenu plus tard Google Earth, a été un succès d'investissement précoce.

Les commentaires de quelques cadres anonymes d'entreprises du portefeuille indiquent exactement le type de collaboration décrit ci-dessus comme un argument de vente clé. Un dirigeant d'Evident.io (une entreprise de sécurité en nuage) a déclaré : "Notre relation avec In-Q-Tel a été essentielle pour garantir que notre feuille de route et nos efforts de développement soient alignés sur les besoins de la [communauté du renseignement]. Alors que nous travaillons en étroite collaboration avec nos clients commerciaux pour nous assurer que leurs besoins sont prioritaires, il est plus difficile d'obtenir ce niveau d'interaction avec certaines agences gouvernementales en raison de la nature des programmes. In-Q-Tel contribue à combler ce fossé". D'autres ont dit à peu près la même chose : la relation ouverte et collaborative a permis d'affiner les offres de produits en fonction des besoins du gouvernement.

Dans des domaines logiciels en évolution rapide comme la cybersécurité, ce type de développement réactif n'est pas optionnel. Nous n'avons pas nécessairement besoin de notre propre In-Q-Tel. Il existe d'autres options, comme une meilleure utilisation des canaux existants tels que le véhicule d'acquisition de la cybersécurité. Mais si le Canada veut à la fois s'assurer que le gouvernement est en mesure de sécuriser ses propres actifs et services cybernétiques et contribuer à la croissance d'une industrie compétitive et orientée vers l'exportation, il doit veiller à ce que la nouvelle stratégie en matière de cybersécurité réoriente les marchés publics vers un modèle plus souple et plus ouvert.

De nombreux services dont les Canadiens dépendent dans l'ensemble de l'administration sont un peu moins bien portants après la pandémie, qu'il s'agisse des passeports ou des soins de santé. Cette crise, ainsi que le nouveau livre Recoding America de l'ancienne directrice adjointe de la technologie des États-Unis, Jennifer Pahlka, ont fait bouger beaucoup de choses dans l'esprit des décideurs. Si nous parvenons à créer un modèle qui fonctionne pour des marchés publics flexibles dans ce domaine, cela pourrait ouvrir un nouvel espace de changement dans d'autres domaines.

‍

Vous pouvez lire quelques-uns de nos articles récents ici :

• Les trois pièges mortels de l'IDE en matière d'innovation
• Un point de vue fascinant sur le crédit d'impôt technologique
• Bienvenue à Mooseworks et un mot sur les semi-conducteurs

Mooseworks est la série sur les politiques d'innovation du Conseil canadien des innovateurs. Pour recevoir des articles comme celui-ci dans votre boîte de réception deux fois par mois, inscrivez-vous à la lettre d'information du CCI ici.