header image
The world according to David Graham

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. PMO Staff Run Government; Ministers Represent It
  2. On A Mostly Harmless Birthday
  3. The Trouble With Political Communications
  4. Politics: War By Other Means
  5. On the function of Social media
  6. C-18 is an existential threat, not a benefit, to democracy
  7. On Missing A Little More Than A Sub
  8. The Realpolitik Of Open Nomination
  9. What Is An Open Nomination, Really?
  10. Alberta election about identity, not policy
  11. The Trouble With Electoral Reform
  12. Mr. Bains Goes to Rogers
  13. Question Period
  14. Why do lockdowns and pandemic restrictions continue to exist?
  15. Parliamentary privilege: an arcane concept that can prevent coups
  16. It's not over yet
  17. Trump will win in 2020 (and keep an eye on 2024)
  18. A podcast with Michael Geist on technology and politics
  19. Next steps
  20. On what electoral reform reforms
  21. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  22. 2019 Summer newsletter / infolettre été 2019
  23. 2019-07-15 SECU 171
  24. 2019-06-20 RNNR 140
  25. 2019-06-17 14:14 House intervention / intervention en chambre
  26. 2019-06-17 SECU 169
  27. 2019-06-13 PROC 162
  28. 2019-06-10 SECU 167
  29. 2019-06-06 PROC 160
  30. 2019-06-06 INDU 167
  31. older entries...

2019-04-08 SECU 156

Standing Committee on Public Safety and National Security

(1640)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, I see we have quorum.

I apologize to the witnesses for all the difficulties with votes, but it is what it is and we're in the season that we are in.

Before I start, there has been some conversation about Mr. Dubé's motion. I'm going to allocate the princely amount of one minute to see whether there is an appetite to deal with Mr. Dubé's motion.

The first question I have is.... I shouldn't even ask this. I should say we're going to have this in open meeting as opposed to in camera; otherwise, we'll just waste more time.

Mr. Dubé, do you want to move your motion? We'll see whether we can get this done in one minute.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Hopefully I will need less than that. I've already presented it and explained why. It's on the record, so I'm happy to move to the vote.

The Chair:

Ms. Sahota.

Ms. Ruby Sahota (Brampton North, Lib.):

I would just like to state that I'm supportive of the motion; however, I do feel that the time frame is very loose. It allows up until June 21. I do think there is some urgency to the matter, because there are a lot of people who feel uncomfortable about the way the report was put out initially in December. I would urge that we perhaps state that it should be done at the minister's earliest convenience.

That's just a friendly amendment, so that we don't give such a lengthy deadline but do it as soon as possible.

The Chair:

Mr. Dubé.

Mr. Matthew Dubé:

Thank you. I appreciate that. Understanding that we have a busy committee, I would perhaps just amend it to say “at the minister's earliest convenience but no later than” the date that's in the motion, so we don't say that the earliest convenience is when some of us come back.

Ms. Ruby Sahota:

Yes, I think that's a good amendment.

The Chair:

Okay, do we have consensus on that?

Properly, I should have Ms. Sahota move an amendment and then we will vote on the amendment. Do you want to move your amendment?

Ms. Ruby Sahota:

Yes, my amendment is, after the words “the Minister of Public Safety and Emergency Preparedness to appear”, to say, “at his earliest convenience but no later than Friday, June 21, 2019.”

The rest of it is the same.

The Chair:

Okay. The vote is on the amendment.

(Amendment agreed to [See Minutes of Proceedings])

(Motion as amended agreed to [See Minutes of Proceedings])

The Chair: Excellent, thank you very much.

Now we'll turn to our witnesses. Notice the extraordinary level of co-operation among colleagues on the public safety committee, unfortunately not replicated anywhere else.

Our first witness is Ms. Terri O'Brien from the Interac Corporation, and the second witnesses are Mr. Ferrabee and Mr. Kyle from Payments Canada. I thank you for your patience.

I'm going to ask you for your opening statements.

I'll point out to colleagues that we are supposed to be voting again at 5:30. I assume that's when the bells go.

The Clerk of the Committee (Mr. Naaman Sugrue):

There may be bells at 5:00.

The Chair:

Okay, so let's at least get the statements done. We started the meeting. Thank goodness for that.

Do I have unanimous consent to proceed until we can no longer proceed?

Some hon. members: Agreed.

The Chair:

Okay, that is probably 20 minutes.

Please proceed. Again, I apologize for these procedures, but they are what they are.

Ms. O'Brien, go ahead.

Ms. Terri O'Brien (Chief Risk Officer, Interac Corp.):

Good afternoon, everyone. Thank you very much for the opportunity to address the committee.

My name is Terri O'Brien. I lead the risk management practice at Interac Corp.

For my opening remarks today, my goal is to provide insights and recommendations on cybersecurity from our unique position in the financial services landscape. Many of you know Interac already. Like millions of Canadians each day, you use our products and services to withdraw money and pay and transfer funds with security and convenience.

What you may not know is that Interac is 100% Canadian-owned and operated. What sets us apart is not only our Canadian roots, but the trust we have established with Canadians over our 35-year history. Last year, Canadians made 6.6 billion transactions, moving over $415 billion in value across our suite of products, including Interac debit and Interac e-Transfer.

Interac has been in the business of facilitating real-time payments between Canadians for decades, including our Interac e-Transfer product, which has been facilitating real-time payments since 2002. Of course, this includes real-time 24-7 fraud detection. With real-time payments comes the need for real-time security, prevention and detection capabilities, which we've built up over our history. Our real-time cyber and fraud capabilities help Canadians digitally transact with confidence across a variety of devices and platforms, including mobile devices. At the same time, we adhere to our core values that have been central to our history, including corporate responsibility, safety and soundness.

Security is a core element of everything we do, whether it's combatting fraud across our network or keeping the personal financial information of Canadians private. Therefore, cybersecurity is something we think about a lot.

As our economy and society have become increasingly digital, it is no secret that the pace of cybercrime has accelerated. As I'm sure you've heard in some testimony, and as we've read and seen in reports, around the world it has never been easier for people to access cybercrime goods and services. Fraud-as-a-service and cybercrime-as-a-service websites currently sell everything from credit card numbers to social media account credentials and denial-of-service attacks. All of that is available with a single click and for several hundred dollars.

In that regard, Interac was very pleased to see the government establish the Canadian Centre for Cyber Security last year and make new investments in cybersecurity in the most recent budget. We also support the creation of the centralized cybercrime unit under the RCMP.

Interac is in a unique position at the centre of the Canadian financial services landscape. We operate as a central payments and digital information exchange to facilitate the interoperability of payments and related information among our Canadian banks, credit unions, caisses populaires, payment processors, businesses and Canadian consumers. Because of this, we are in a unique position where we can detect cybercrime, including fraud and money laundering, as it moves throughout our system and between those institutions.

This is a unique role that Interac plays at the centre of the ecosystem. Whereas each financial institution can detect fraud and money laundering only within its own customer accounts, Interac can see the criminal activity across institutions.

In order to pick up on these patterns of criminal activity, we employ sophisticated tools that utilize machine learning and predictive behavioural modelling. When our systems detect high-risk or suspected fraudulent activity, actions are immediately taken, including suspending or blocking the transactions.

We also communicate directly with institutions across the financial system. We collaborate and share information to strengthen our collective resilience and security in the Canadian economy. A practical example of this for the committee is when we detect that financial criminals are utilizing many different accounts to target a specific bank, union or caisse populaire. In these circumstances, we alert the institution that is being targeted, while simultaneously working to block the activity and secure vulnerabilities at the various sending institutions.

Because cybercrime doesn't have business hours, neither do we. Our detection and prevention systems and staff operate 24-7, enabling us to counter cybercrime in near-real time.

We are constantly evolving our approach in order to keep Canadians safe when transacting over our networks. In 2018, our fraud risk mitigation practices prevented over $100 million in fraud losses, and we had over 4,300 malicious websites taken down.

We also work together today with the RCMP and local law enforcement to support and assist in their investigations of fraud and related criminal activity. Protecting Canadians' financial information amidst the changing payments landscape is a top priority for Interac.

(1645)



Since the advent of mobile wallets, payments are now made through smart phones and other devices, as mobile payments are growing in popularity among Canadian consumers and businesses every day.

In order to secure the payments made via the Interac debit network on mobile devices, Interac became one of the first domestic debit networks globally to establish its own token service provider, or TSP. Our TSP ensures that personal identifiable information, including account numbers, is replaced with randomized information, or tokens, that is of no use to hackers or criminal activity.

Expanding the use of tokenization is one way we can enhance cybersecurity for the benefit of Canadians. Collaboration and coordination among private and public entities are also pivotal to addressing the volume of cyber-threats that exist today.

We see three specific areas of focus here that can greatly benefit Canadians. The first is information sharing with the new cybercrime unit in the RCMP. The second is a more targeted approach to detecting cybercriminals. The third is ongoing public education and awareness.

Interac believes there is an opportunity to reduce impediments that currently exist in order to enable more open sharing of known cyber-threats between Interac and the government through secure and trusted channels. This should include looking at legislative changes, as well as safe harbour provisions, to open up communication channels and address concerns around enforcement actions.

Second, when it comes to detecting cyber-threats, we see benefits in utilizing a more targeted approach as a key point of emphasis. The way threats are detected today is akin to a scattershot, in that all transactions must be scanned and analyzed with equal importance. A more efficient model would be one that focuses on lists of known cybercriminals and cyber-threats and those vectors and behaviours, utilizing information from government and law enforcement, as well as financial institutions and Interac.

Interac could play a pivotal role here, given our ability to detect criminal activity across our network and our connection to almost 300 financial institutions. Interac, at the centre of the ecosystem today, could represent a secure information exchange with the RCMP in the future, to allow both organizations to take a targeted approach in detecting and preventing crime, rather than scanning all transactions. We believe government can and should play a leadership role here by establishing and maintaining clear processes and lines of accountability.

Finally, at Interac we recognize there is a need to provide ongoing public information and education about cyber-threats and security best practices to support an increased knowledge of the current risks and how to keep Canadians safe. We regularly conduct proactive campaigns designed to educate and inform. We also participate in forums such as the Competition Bureau's public education working group to share our insights and results. We also collaborate actively with the RCMP and local law enforcement.

We look forward to further collaboration with the government on information sharing, targeted detection, and public education in the future.

To conclude, I would like to emphasize Interac's commitment to cybersecurity and our willingness to work together with the government, as we do today. We support recent initiatives and investments made by the federal government, and we believe that continued education and discussions like these can advance industry-wide solutions to help keep Canadians safe from cybercrime.

Thanks very much.

(1650)

The Chair:

Thank you, Ms. O'Brien.

Mr. Ferrabee, go ahead. [Translation]

Mr. Justin Ferrabee (Chief Operating Officer, Payments Canada):

Good afternoon.

My name is Justin Ferrabee. I'm the Chief Operating Officer of Payments Canada.[English]

Thank you for inviting Payments Canada to contribute to the study.

Let me begin by reassuring the committee that security is Payments Canada's highest priority in all we do. It commands focus, resources and investment, above all other needs. This means that we design, review, modify, update and operate our systems as we monitor risks. We see security as a prerequisite for innovation in the payment space. We remain in a constant state of vigilance and respond decisively, as required, to ensure that we manage risk appropriately and that we remain secure.

Over the next few minutes, I'll share who we are and what we do, our collaborative approach to cybersecurity, and our recommendations for reducing the risk in the financial sector.

Payments Canada operates Canada's national clearing and settlement systems. While Payments Canada is a little-known entity to most Canadians, it plays an essential role in the economy and in the day-to-day operations of financial institutions and businesses across the country. Payments Canada's systems ensure that payments between financial institutions—the aggregation of all payments made in the economy—are safely and securely completed each and every day. The value transferred is over $50 trillion annually.

We are guided by our mandate and the public policy objectives of safety, security and efficiency of the Canadian clearing and settlement system. In consultation with members and stakeholders, we also maintain a framework of rules and standards that mitigate risk and facilitate the exchange of payments and the deployment of emerging payment products and services.

Given that cyber-threats evolve rapidly, Payments Canada is continually raising its defences. We have a cybersecurity action plan based on secure design principles and industry standards. The plan ensures that we are constantly watching for and closing gaps to maintain the resiliency of our operations.

Payments Canada operates within a network of financial institutions, regulators and other financial market infrastructures. We are held to the highest global security standards, including “Guidance on Cyber Resilience for Financial Market Infrastructures” from the Bank for International Settlements, the SWIFT customer security program, and the NIST cybersecurity framework.

We also work closely with the Bank of Canada to ensure that we meet the requirements for mitigating cyber-threats through internal and external assessments. Outside of these requirements, we establish rules and standards around the security of payment items and the connectivity of systems, to which our members must adhere.

From a wider, collaborative industry perspective, we work very closely with partners in the financial sector through cybersecurity industry groups such as the Canadian Financial Services Cybersecurity Governance Council, the Canadian Bankers Association cybersecurity specialist group, and the Financial Services Information Sharing and Analysis Center.

We also participate in and lead industry exercises for business continuity and cyber-resilience and share intelligence with partner agencies and organizations in the cyber community. These connections include the Canadian Centre for Cyber Security, Public Safety's critical infrastructure protection branch, RCMP's national critical infrastructure team, and the Canadian Cyber Threat Exchange. Further to these collaborations, we are actively engaged in the international cyber-risk community with our partners at the Bank of Canada.

Through all of these activities, we continually rank and benchmark ourselves internationally, and we are consistently in the top 1% of the global industry for safety and security.

Working closely with our financial institution members, the Bank of Canada and the Department of Finance, we are currently undertaking a major program to modernize Canada's payment systems to meet the growing demand for secure and innovative new payments products. Modernization will result in new payment infrastructure designed to strengthen the payment system.

Through our diligence and movement toward modern payment systems, we have identified gaps that exist outside our realm, which this study may be able to influence. There is a clear need for public-private coordination in responding to attacks against critical infrastructure and, with that, a single, clear point of contact in the public sector. These improvements will help us better share information, in a protected fashion, and help us manage and prevent future attacks. The release of the national cybersecurity strategy in 2018 and the recent developments with the Canadian Centre for Cyber Security will help in this area.

At the same time, the recovery of systemic cyber systems must be prioritized in the event of a widespread disruption. Policy that extends cybersecurity requirements to the supply chain of critical systems would help to improve the resilience of dependent components to the national infrastructure and the financial system as a whole.

(1655)



Investments in policies and cybersecurity can also support digital supply chain risk. The modern supply chain often includes hundreds, or thousands, of software components that are embedded in critical systems sourced from companies and communities all around the world. It is a significant task to track and inventory all the ingredients of a system and make sure that those ingredients remain safe.

In the food safety world, we have labelling standards that inform customers about product ingredients and nutritional facts, but in the software world, we have no labelling standard to help consumers understand what components and what risks might exist within the software. Policy to support digital supply chain risk is necessary, and system labelling of software components should be studied for its benefits to the economy.

We also feel strongly that more could be done to address the cybersecurity skills shortage. There is already a gap in capable people and, given the increasing severity of threats, there is a need for policies and strategies to develop, attract and retain skilled workers. This would ensure that Canadian companies are able to safely grow and innovate as they expand their use of digital technologies.

Finally, we see a need to equip Canadians with the knowledge and awareness of good cyber hygiene to protect their personal and financial information online. For instance, right now millions of Canadians are seeking technologies and financial applications that mimic the services of open banking. In seeking such services, they aggregate account information across multiple platforms and thereby expose themselves to cyber-threats.

Payments Canada was pleased to see that several of these issues, and commitments to address them, were included in the 2019 federal budget, but we know that cyber-threats are not going away. They are evolving just as quickly, if not faster, than digitization and modernization across all industries. We must work together to build resilience in the face of these threats in a way that ensures that we do not hinder the pace of innovation.

While every organization has the responsibility to protect itself from cyber-attacks, doing so as a collective or a network is much more effective. Cybersecurity is an issue that affects the Canadian economy and our national security as a whole. Payments Canada is eager to contribute and support a network defence strategy.

Thank you.

(1700)

The Chair:

Thank you.

Colleagues, we have 12 minutes left. If we ran this down to five minutes before the vote, that would give you four minutes, then four minutes, and that would be about it.

I would seek your input as to whether we could come back and spend an hour with these folks, if they are available. Can we do that?

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

I won't be here.

The Chair:

Okay, there are no votes, no motions. That's agreed. We'll come back for an hour. I just feel we're abusing these folks' time.

We'll be back here probably about 5:30.

With that, Ms. Sahota has four minutes, and then Monsieur Paul-Hus has four minutes.

Ms. Ruby Sahota:

Thank you.

Ms. O'Brien, you spoke about malicious websites. How often are you seeing these malicious websites go up? How much of your capacity gets used up by taking down these malicious sites? Could you explain a little the awareness you are trying to raise for consumers so they're not duped?

Ms. Terri O'Brien:

Last year, Interac experienced 4,300 of these phishing websites. We worked with a leader in the industry, a partner of ours, to take them down. It's a similar partner that works with many financial institutions. The larger financial institutions experience many more phishing incidents or fraudulent websites that are put up.

The websites are intended to collect personal, identifiable information—login credentials or other such means of identity—of Canadian consumers, so they can take over their bank accounts or other payment processing to extrapolate the money from their accounts. That's the intention of the websites. We are finding that they've been getting more sophisticated in recent years. I think folks would agree that they're getting better at stealing logos and branding and making it look like a legitimate website.

We do participate heavily in public education in this regard. It's very important to know that your financial institution isn't going to send you links and emails to click through to these malicious websites. There are ways that we educate the public to double-check that they are, in fact, on their own financial institution's website or Interac's website, and not on a spoofed website.

Ms. Ruby Sahota:

You also spoke a bit about mobile wallets, and Interac has been operating on the tap system for a while now. Has this led to an increase in fraudulent incidences? Are we forgoing safety for the sake of convenience? Could you shed some light on that?

Ms. Terri O'Brien:

I would say no, actually. The mobile technology is more secure. It is akin to the tap technology, so it uses the EMV card technology. It's quite a layered security. I also mentioned tokenization. What's actually stored on the phones is a token, not the actual card number. It leverages the tap technology, which is quite secure. We have almost eliminated fraud in the Interac debit business. A lot of that has to do with chip and PIN. The residual, which is really at one basis point—it's as low as it could possibly be—stems from exploits in the U.S., where there are still terminals with a magnetic stripe, but effectively, in Canada, that technology is extremely secure.

Ms. Ruby Sahota:

We heard a little bit about the token service provider from witnesses from Mastercard when they were here. I'd never heard about it before. It seems that—and correct me if I'm wrong in my understanding—this system isn't used consistently. Why is Interac not switching over to the token system completely so that personal information is eliminated?

(1705)

Ms. Terri O'Brien:

Interac has developed and deployed our own token service provider. It's correct in that we are not using any other provider, whether it's Mastercard or otherwise. We have our own token service provider. We deploy our own technology because it is so secure and because we can manage and maintain the security around it.

The Chair:

Thank you, Ms. Sahota.[Translation]

Mr. Paul-Hus, you have the floor for four minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

I want to thank everyone for being here. We're sorry about the disruption resulting from the votes in the House.

In the case of Interac, if I make a transfer, the recipient will have 30 days to accept the funds. Where is the money from my bank account stored on a virtual level? How does this work? [English]

Ms. Terri O'Brien:

That's a very good question. I think the question is directed toward our Interac e-Transfer product, which has several different options. Auto-deposit is an immediate, real-time transaction. The one that you described is called our question and answer type of transaction. That's where the recipient would like a security question answered to deposit the e-transfer transaction. In that case, since a person may not be on their email on a daily basis, they are given 30 days to accept the transfer. What happens, however, for the person sending the transaction is that the money is taken from their account. It's a good-funds model, so the funds are available. It's held by the sending financial institution in a suspense account, and then, once the security question is answered, the funds are released. At all times they are secure. [Translation]

Mr. Pierre Paul-Hus:

I gather that, if I do business with the Royal Bank, the money doesn't go to Interac. The money will remain in a Royal Bank account.

There's often a concern. Once the transfer is made, we have no more contact. We wait for the recipient to accept the funds. However, if the person doesn't receive the money, we worry about where the money has ended up. So the issuing bank has it.

I'm trying to understand the technical system. From a virtual standpoint, could another person intercept the transfer? Could a hacker intercept a transfer? What could be done in that type of situation? [English]

Ms. Terri O'Brien:

The answer is no. It's a highly secure, closed-loop, private network. While Interac operates the infrastructure, Interac also has the operating regulations and governance through which the transactions transfer from each financial institution. What we are facilitating is the financial institution that wants to employ the question and answer or Q and A type service. At no time, though, could the transaction be intercepted in transit. It is securely held at one financial institution and then, once released, the payment across the Interac infrastructure is securely facilitated into the receiving institution. [Translation]

Mr. Pierre Paul-Hus:

You're saying that the transfer process is perfectly secure. There's no way to interfere with it. [English]

Ms. Terri O'Brien:

That's correct.

We have a fully secured, closed-loop private network among the almost 300 financial institutions, credit unions and caisses populaires across Canada. [Translation]

Mr. Pierre Paul-Hus:

You spoke a bit about the government. What current legislation should be amended and made more effective for you? Certainly some legislative measures aren't effective and should be improved. [English]

Ms. Terri O'Brien:

That's a wonderful question.

We actively work with the RCMP and law enforcement today on the exchange of some information, although it often requires a production order. We would suggest that certain privacy and other safe harbour legislation could be opened that would allow a much more targeted approach among the trusted channels that we have today, whereby we could effectively focus and manage the cybercrime in a much more targeted way.

We find that our communications today are quite effective, but they are unspecific and constrained in many ways. We think there definitely are legislative options that would allow for more open sharing of that information, which would benefit—

The Chair:

Thank you, Mr. Paul-Hus.

With that, I'm going to suspend, and we'll resume as soon as possible for another hour. There will be no motions or anything else.

Again, I thank you for your patience.

(1705)

(1725)

The Chair:

We are back on. I see quorum.

Mr. Motz, you have never been more popular in your entire life.

We're going to go with four minutes, then four minutes, and then we'll go to five-minute rounds. Mr. Dubé would normally be up next, but I don't see Mr. Dubé, so I'm going to go to Mr. Picard. When Mr. Dubé arrives, we'll go back to Mr. Dubé.

Again, thank you for your patience.

Mr. Picard, you have four minutes.

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Ms. O'Brien, you talked about cybercrime and fraud. What is the nature of the fraud you detected on your system, to which you've reacted in the past?

Ms. Terri O'Brien:

The fraud is constantly changing, and it also moves around based on vulnerabilities at the different financial institutions. The most common fraud that we see is what we call account takeover fraud. In the earlier example, we were speaking about some of the phishing exams, a person's credentials or personal, identifiable information that allows criminals to overtake their bank account. Then they start a systemic practice of draining the funds from that bank account, sometimes to different receiving institutions, and pulling the money out of the financial system.

At Interac, we are in a unique position where we can see that fraud cross institutions across our network into different financial institutions on the receiving end. What we've developed is a fraud detection system that patterns that behaviour and is able to detect it. Then it either blocks the transactions or holds them for further review.

Mr. Michel Picard:

When you block a transaction, that means that someone somewhere has the information of the cardholder. By having that, they may then have access to their bank account and therefore start digging for more than just the money—personal information that can be used for identity theft and so on. Your action may block a transaction, but part of the damage is done already, and we don't yet have any control over what kind of information has been stolen at this point.

(1730)

Ms. Terri O'Brien:

Not always. I won't outline all of the behavioural models, but I will say—noting that 99.9% of transactions flow through, and that's just indicative of our volume—that when a transaction actually gets blocked, it is a known fraudulent transaction. There are certain vectors and information we have where certain transactions are known, usually through information sharing that we actively participate in between Interac and the financial institutions, both sending and receiving. Sometimes that happens with the RCMP and law enforcement as well. It's that reciprocal sharing of information that is really critical to allowing us to block known fraudulent transactions. In the cases of the blocks, the customers are not impacted.

Mr. Michel Picard:

We're still stuck with four-digit PINs, which provide maybe 10,000 combinations. Is that sufficient nowadays?

Ms. Terri O'Brien:

I'd say yes. The chip and PIN, both the chip technology with the EMV-layered security and the PIN that is known only to the user, have been very effective. We've almost eradicated fraud on Interac debit. It's well below one basis point of fraud. As I mentioned earlier, it's just the remaining mag stripe terminals in the U.S.

I think it's also effective because of public education. There has been a lot of public education so that you don't share your PIN. Even in widely streamed media, in television shows, they've talked about how sometimes even spouses don't share PINs with each other. It's been very effective public education to keep your PIN secure and secret.

Mr. Michel Picard:

You said that you have a private network among banks, but when I buy something at the store, do I make my transaction through a totally private, closed network? If that's not the case, do I have to go on the web or somewhere to make that so I'm totally secure?

Ms. Terri O'Brien:

You are totally secure. The PIN pads you make your transaction on, those are all issued by acquirers and payment processors, and they are part of the closed loop network. Every point in the network is secured.

Mr. Michel Picard:

How about going—

The Chair:

Thank you, Mr. Picard.

Ms. Terri O'Brien:

It doesn't go across an open Internet.

The Chair:

I know you were on a roll there.

Mr. Michel Picard:

No, I know. Thank you.

Ms. Terri O'Brien:

They're good questions. Thank you.

The Chair:

Mr. Cannings, welcome to the committee. I see you're not Mr. Dubé.

Mr. Richard Cannings (South Okanagan—West Kootenay, NDP):

No, not the last time I checked.

The Chair:

We had held four minutes for Mr. Dubé as the next questioner, but you may want to catch your breath and we can come back to you.

Mr. Richard Cannings:

I would like to catch my breath and figure out what exactly we're talking about.

The Chair:

Well, we're trying to figure out the same thing.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Mr. Chair.

First of all, thank you to both of the organizations for being here today.

I'll start with you, Ms. O'Brien. Canadians wonder—and I think I know the answer to this, but you can shed some light for us—if an Interac e-Transfer is traceable.

Ms. Terri O'Brien:

Could you expand on the question? In what regard do you mean traceable?

Mr. Glen Motz:

We're talking about cybersecurity today, so if we have an issue with an e-transfer, is that e-transfer a traceable transaction, if it is to a bad actor?

Ms. Terri O'Brien:

Part of my testimony today was about encouraging open collaboration and more information sharing and safe harbour provisions with the RCMP. The transactions are traceable. However, in today's environment, if the RCMP is looking at a bad actor, as you suggest, they will keep certain information around that bad actor secret. They will sometimes issue a production order, in which case we will share the information we have, as required by law, and then they will continue their investigation into that bad actor.

We have some information that is shared among ourselves at Interac, the financial institutions and law enforcement, wherein we can have indicators that inform our behavioural models, but how the RCMP does its tracing of bad actors is shared to us as they are able to do so.

(1735)

Mr. Glen Motz:

Thank you for that.

In your opening remarks, you spoke about having a proactive sharing system, I think you called it.

Can you describe for us, in an ideal world, what the ideal sharing would be between your organization or the industry in general and law enforcement, to protect consumers? What would that look like?

Ms. Terri O'Brien:

Sure. I'm happy to crystal-ball some great ideas in that space. We would absolutely love.... The cybercrime unit, particularly in government and the RCMP, as well as law enforcement, will regularly monitor some of the online or dark web or deep web marketplaces. Those marketplaces come up and go down quite frequently as they are trying to hide some of the marketplaces and some of the identifiable features of them.

In an open sharing environment, we would know that very quickly, and therefore we would have an ability—as to your earlier question—to trace bad actors as they come up in these online marketplaces in a closer to real-time fashion. If that information was openly shared with us, we could do a lot more to block or monitor potentially fraudulent transactions.

Mr. Glen Motz:

Payments Canada, would you care to weigh in on that question? In an ideal world, what do you see as being a vehicle or a way in which we can share information between the financial institutions or the financial industry and law enforcement to protect consumers better than we do now?

Mr. Justin Ferrabee:

I'll have our CISO, Martin Kyle, respond to that, because we're active in that.

Mr. Martin Kyle (Chief Information Security Officer, Payments Canada):

There are many sharing organizations and groups already in place. In our comments, we talked a little bit about an information sharing group with the Canadian Bankers Association, for example. We talked about information sharing with a non-profit, the Canadian Cyber Threat Exchange, which was represented here by a witness, I believe. We have information sharing with the Canadian Centre for Cyber Security and with the RCMP. All of these various sharing groups allow us to get more information about existing threats and learn how to detect those threats on our systems, and then allow us to respond to those threats.

Mr. Glen Motz:

You said in your opening remarks that Payments Canada transfers more than $200 billion daily through your various networks. If that's the case, how do you keep those large sums of money safe during your transfers? What does that look like?

Mr. Martin Kyle:

As you know, our number one priority is the security of those transfers. We enable the safety of our systems by reducing our attack surface, as we in the trade call it. We have a very small, close-knit group of members whom we support and allow into that network. That network is very segregated from other networks, and that small attack surface allows us to pay very close attention to what happens on it in identifying threats, monitoring the activities and responding to the things that occur there in real time.

The Chair:

Thank you, Mr. Motz.

Mr. Cannings, have you caught your breath, or should I go to Ms. Dabrusin?

Mr. Richard Cannings:

I'll wing it here.

The Chair:

Okay, you have four minutes.

Mr. Richard Cannings:

Thank you.

As you understand, it's a bit of a surprise for me to be here. I just got off a plane and voted, and then they took me down here. So unfortunately I have not been able to hear your testimony. I had no idea what was going on before in this study either.

A question pops into my mind about payments with chip cards. You may have covered this, and my apologies if that's the case. Canada was an early adopter, at least compared to the United States. I'm just wondering about two things. Is that an issue, that Canada has widely used chip cards and Americans have not? I'm not sure if that's changing. Is there an issue between the two countries on the security status of those systems? Should we be more worried in the United States than we are here, or vice versa?

(1740)

Ms. Terri O'Brien:

That's a very good question. We have almost eradicated fraud in Canada on the debit card with chip and PIN. It's a very effective technology and secondary control, and only the person knows the PIN. The EMV technology on the card has been very effective to date.

We do have risk in that the U.S. has not adopted EMV technology. Industry pressure is increasing for them to do so. More of their point-of-sale terminals are being enabled. They have offered chip and signature in some point-of-sale terminals, but they haven't fully migrated to a chip and PIN environment.

It's a good example where a consortium of the industry, together with payments processors in the centre of the industry and settlement partners, can combat fraud when coming together on solutions.

The risk to Canadians in the U.S. is certainly lower, but it does continue with the magnetic stripe.

Mr. Richard Cannings:

Where I interact with it, it's more the inconvenience of trying to buy gas in the United States and they demand a swipe and a postal code; of course, Canadian postal codes don't work down there.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

I can explain it to you.

Mr. Richard Cannings:

I don't know. In Texas, they have trouble with it.

I was just going to ask you about skimming devices and chips. Is that not an issue at all?

Ms. Terri O'Brien:

It's much less of an issue with the chip and PIN. Skimming devices still exist, though they have to have cameras to try to capture the PIN, but it's not a very elegant fraudulent solution because your hand could be in the way. So the risk is really negligible in Canada. The skimming devices that take the mag stripe continue to be a risk in the U.S. The mag stripe is easily copied.

Mr. Richard Cannings:

That certainly does it for me.

Thank you.

The Chair:

If you need any hacking help, Mr. Graham is here to help.

Ms. Dabrusin, you have five minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

My first question is probably more for Payments Canada. I was looking at a letter I received from someone who lives in my community. We're in that hybrid moment where people still sometimes write paper cheques, and now they can deposit them by taking a picture and sending that in. But then that cheque stays floating around with that person. They have all this personal information with your signature that you're counting on someone to deal with properly, although they might be just a private individual who doesn't have a way of dealing with it.

Has this ever come up as an issue that's been raised with you, and if so, do you have any tips for people about that and what they can do to protect their personal information?

Mr. Justin Ferrabee:

I can speak for Payments Canada. We're at the infrastructure layer. We would write the rules around how that works, and we run the systems that do the cheque imaging and enable the digital image. But all the security and all the services provided to a consumer would be through their bank. We would support the bank, support our members in that, but it's at the policy level of the bank.

Ms. Julie Dabrusin:

Okay.

Ms. Terri O'Brien:

To add from my many years in banking, the technology has come a long way and the cheque imaging is quite good now. Of course, consumers are encouraged to destroy the cheque afterwards. However, duplicate cheque detection has come a long way as well. If you ever try to deposit it twice, it won't allow you to do so.

Ms. Julie Dabrusin:

Thank you.

To Payments Canada, you talked about labelling within the digital supply chain and how to create proper labelling. Does anybody do any labelling in the world? Do you know of a standard out there?

Mr. Martin Kyle:

No. In fact, that's why we put it—

Ms. Terri O'Brien:

I know one.

Ms. Julie Dabrusin:

Do you?

Ms. Terri O'Brien: I do, yes.

Mr. Martin Kyle:

Go ahead, please.

Ms. Terri O'Brien:

I've been looking at the model. It's actually quite good. SWIFT has adopted a model wherein they publish the security standings of all their counterparties, as they call them, not from a creditor's standpoint but just as a counterparty to the system. It's a good model that we quite like.

That allows each of the participants in the ecosystem.... If you're a financial institution or a caisse populaire and you see a lowered security level that's not quite at the standards, you can mitigate or limit your risk to that partnering financial institution. They've implemented some really interesting things in the past year.

(1745)

Ms. Julie Dabrusin:

Knowing that there's one standard out there, somebody who's doing it, what's the government's role in that? Is it that government adopts a form of labelling and then requires it for our financial institutions, or is it something that we leave to another sector?

Mr. Martin Kyle:

I can respond to that.

The attestation program to which Terri referred has been a set-up by the SWIFT organization, to allow the counterparties to publish their attestations to other counterparties. If one organization feels like the other counterparty that they're doing business with is too risky, because of their attestation they have the opportunity as a business owner to de-risk themselves or to demand that certain requirements be met before they continue doing business with that organization.

Mr. Justin Ferrabee:

I just want to come back to the labelling of ingredients. The attestation is a version of it, but it's an early version. There is no precedent for identifying all of the components in the value chain and disclosing and managing that. There are multiple parts to this. It's not actually being done anywhere else that we know of.

Ms. Julie Dabrusin:

Part of what I'm thinking is that, from what we've heard, more and more of this is crossing borders. It's not something that lies entirely within Canada, as far as how it's being done is concerned. I'm trying to figure out which body, which organization is best set up so that we can co-operate with it as the Canadian government. We can encourage other international governments to participate, but where should that lie?

Ms. Terri O'Brien:

It's a great question. SWIFT is a global organization that has started early days in that. I would absolutely suggest that Interac would be an appropriate place as well. We currently run our operating regulations and minimum standards, whether they're security standards or participant standards, for all the FIs in our ecosystem.

We have a very robust governance policy and operating regulations in market today. We're looking at how we can enhance those in-market regulations every day. The participants eagerly participate in the marketplace and adhere to those regulations because what it gets them is reciprocity of payments and access to the ecosystem.

Ms. Julie Dabrusin:

Thank you.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

One of the things I'm sure you heard or read about is that Canada is dealing with whether to accept Huawei as part of our critical infrastructure moving forward. With 5G on the horizon, the question I have for both of your organizations is whether your platforms are prepared to use servers that are built, in whole or in part, by foreign entities that are likely subject to extrajudicial directions from a foreign government.

Ms. Terri O'Brien:

I can answer only for Interac, but I can firmly say that we are not. We are not prepared to allow data outside of our Canadian constitution and Canadian roots. Our incorporation—we became a corporation about a year ago—is quite strongly grounded in Canada. All of our data is to reside in Canada. We are also to use Canadian vendors and Canadian suppliers in the delivery of any of our services, but we build our own technologies. To your question about foreign service providers, we are quite anchored in our Canadian roots.

Mr. Glen Motz:

Before I get Payments Canada to respond to the question I asked previously, I just want to follow up with your comment. If you don't have a server from someone like this, what happens if the infrastructure on which you transfer your data has the ability to have switches that can be hacked by a foreign entity? How does that play into your security programs?

Ms. Terri O'Brien:

All our infrastructure and data are resident in Canada and owned and operated by Interac.

To your question about a foreign entity as a hacker, our experience is that most hackers are foreign entities. We haven't seen a lot of domestic Canadian hackers.

(1750)

Mr. Glen Motz:

They access the information through the back door; they're not hacking the system. We're talking about certain foreign actors who, because of the technology that's in place, could potentially intercept communication that happens on a daily basis, and we don't even know it's being siphoned off.

Ms. Terri O'Brien:

We do vulnerability scan controls and have intensive security scans. We use only Canadian networks, Canadian telecom providers, and have Canadian data centres in multiple provinces. We run our transactions only through our Canadian data centres, so I don't anticipate that.

Mr. Glen Motz:

Okay. Thank you.

Payments Canada, what is your response to the first question?

Mr. Justin Ferrabee:

As you can appreciate, we wouldn't discuss specific capabilities or principles or how we manage our infrastructure.

What you're raising is a very acute thing we're aware of and are concerned about. Part of the motivation for the tracking of supply chain ingredients is to know that, because we would have providers of a service who would have technology and they may not know exactly where it has all come from, so we wouldn't know.

We have to imagine that it is not safe or secure, and we have to prepare ourselves for that—and we are. We are aware of these risks, but without that kind of knowledge, even if they were to attest that this is true, it might not be true. We can't afford to take those risks, so we plan as if it's not and we try to make it so.

The Chair:

You have a little more than a minute.

Mr. Glen Motz:

A previous witness at committee some time ago—and I asked this the other week—called Canadians “innocent”, which I thought was a very polite way of saying that we don't have a clue about our own cybersecurity.

From the perspective of both of you, what needs to change in Canada to get the consumer to get it, to be more vigilant in their own cybersecurity, and thus their own privacy? What role do we have as legislators to make sure we encourage them?

Ms. Terri O'Brien:

While I am not privy to the comment, the “innocent” comment seems to be directed more at general public knowledge.

Mr. Glen Motz:

Yes.

Ms. Terri O'Brien:

Our resiliency in Canada, particularly with the financial institutions, is quite strong on a global scale.

To your question about Canadian consumers, I would agree. I think public education is immensely important. Certainly this time of year, with the level of CRA scams that come out, from both phone calls and emails that people receive—and I'm sure all of you are well versed in that—Canadians do get pulled into those scams. They don't have enough education or awareness to understand when they should hang up the phone or delete the email, and also to up the system security on their home computers, and how important that is.

The Chair:

Thank you, Mr. Motz.

Mr. Graham, you have five minutes, please.

Mr. David de Burgh Graham:

Thank you. I hope it's enough.

Mr. Cannings, I'll just tell you how the things we talked about earlier work. The postal code in your constituency office is V2A 5B7. If you're trying to use your postal code, you'd have the numbers from that: two, five and seven, plus zero, zero.

In the U.S., your postal code for the purpose of your card is 25700. Now you know how it works.

Mr. Richard Cannings:

Okay. Next time I'm in Texas I'll remember that.

Mr. David de Burgh Graham:

Have a safe trip, and keep in mind that your postal code is a public record. Everybody knows how it works now, so there you go.

The Chair:

It might be fraud, but that's another thing.

Some hon. members: Oh, oh!

Mr. David de Burgh Graham:

To come back to the matter at hand, we're talking about foreign-built devices. There is one thing I'm curious about, and this applies to both organizations. When you have third party software, or hardware for that matter, do you always get the source code, audit it and compile it yourself?

Mr. Martin Kyle:

We do risk assessments on all the software and projects we deploy. Those risk assessments include an inventory of the libraries that are included in the applications that we develop, as well as any defects associated with those libraries.

The digital supply chain comes from all around the world. This microphone probably comes from many different countries around the world, so the risks that are represented in the components that make up this piece of equipment need to be assessed. They need to be assessed for vulnerabilities that could allow adversarial groups to enter this piece of equipment, or a piece of software.

We make sure that when we deploy something, it goes through a rigorous risk assessment process where we evaluate things as much as possible.

(1755)

Mr. David de Burgh Graham:

The question at the core is, do you have access to the source code of what you're using, or is the risk assessment “We don't need it in this case because we trust this company”?

Mr. Martin Kyle:

We ensure that we do audits on the organizations that provide source code to us. We certainly have access to some of the source code. We build some source code. Where we don't have access to the source code, we go through a rigorous risk assessment process with the company that provides it to us.

Mr. David de Burgh Graham:

Terri, is it the same story?

Ms. Terri O'Brien:

No, actually. All of our high-risk and transaction-based systems are proprietary code bases. Proprietary code means that we have a large development team that builds the code themselves. We put it through quite rigorous security standards and vulnerability scanning. We have a managed detection and response, layered security protocols that are quite robust and a private, closed-loop network.

We do, of course, have the source code, because we have a team that writes the source code, and we have very robust security layers. We're constantly reviewing our security posture as well.

Mr. David de Burgh Graham:

What does Interac know about a transaction? If I go to the store and buy something, what do you know about the transaction?

Ms. Terri O'Brien:

I can share with the committee that all the data meets the minimum required standards in order to process the transaction, and any personal, identifiable information that is required to process the transaction to your bank account and not somebody else's bank account is fully secured.

Mr. David de Burgh Graham:

How about what the transaction is actually for?

Ms. Terri O'Brien:

Do you mean the intended use and purpose of the transaction in terms of the merchant where it's being purchased?

Mr. David de Burgh Graham:

If you go to the gas station and buy gas and a bar of chocolate, does Interac know that you bought gas and a bar of chocolate, or that you went to the gas station?

Ms. Terri O'Brien:

I can't share all the data elements that are collected, but I believe the transaction is about the money movement itself. It's not about the goods and services that you're looking to purchase.

Mr. Richard Cannings:

Be careful what you're buying.

Mr. David de Burgh Graham:

This applies to both of you. Do you have member institutions that do a poor job of living up to your standards? I know that in the case of Payments Canada membership is statutorily required for some organizations. Interac is probably the same thing. Do you have lagger organizations you're always chasing that are not keeping up with your standards? You don't have to identify them, but do they exist?

Mr. Martin Kyle:

I would say that all the organizations that participate with Payments Canada have high security standards, and they all meet a very rigorous bar for safety and security.

Ms. Terri O'Brien:

I would say absolutely the same. As the centre of the ecosystem, Interac spends a good amount of time with all of our participants—and we have many more participants—in giving them lead time and testing time when we're raising security standards, which we always are. We actively work with them to make sure they can make the new standards.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

Mr. Cannings, you have three minutes if you wish to use them.

Mr. Richard Cannings:

You caught me off guard here.

The Chair:

I can go back to somebody else.

Mr. Richard Cannings:

Okay. Sorry, normally in my committee I never get a second chance.

The Chair:

I'll go back to myself and ask about what I'm interested in.

I have my Visa card here with CIBC, and I have my debit card. On a security basis only, I would be given to understand from your testimony, Ms. O'Brien, that this is far safer than this.

Ms. Terri O'Brien:

Yes. I would agree with that statement.

The Chair:

Why? Is it because you have 300 organizations in this, and you are a closed loop? There are many more thousands of organizations in this.

What is the essential—

Mr. David de Burgh Graham:

John, be careful not to show the numbers; we’re televised.

The Chair:

I've already been hacked on this. This one can't be hacked.

Mr. Michel Picard:

He has no money anyway.

The Chair:

Yes, that's right.

What is it in the structure that makes the one safer than the other?

Ms. Terri O'Brien:

I think there are many factors. As I alluded to earlier, Interac has a very strong governance and operating regulations structure that is layered. It's not just about the security of a closed-loop network. It's about the participant's level of security, the issuers and acquirers, like the PIN pad level of security, as well as varying degrees of transaction types and limit structures, which is different from some of our credit card partners that we have in Canada, which may have a higher risk appetite.

They have different types of participants in their marketplaces, and different types of fraud monitoring, so I can't speak to the level of fraud monitoring, or their risk appetite. I just know that it's higher than ours in some regards, in their limits on certain different types of cards. As you may well know as a consumer, many cards have much higher limits. Those are more attractive targets for cybercrime than debit cards.

(1800)

The Chair:

So, it's not a function of how the system is set up or the security that's built into it; it's a function of how much risk we want to take in order to be able to do volumes of business.

Ms. Terri O'Brien:

I think it's a function of both. It's a layered approach. It's a function of the security of the participants, of the operating regulations, of the limit structure, of the fraud risk monitoring—for sure, that's pivotal and key in that ecosystem.

The Chair:

Thank you.

I have one other question, with respect to the sharing that's going on among the various institutions. Not all institutions will have the same degree of interest—that's not quite right. They're all interested, but they will have different agendas. Particularly, the government will have one agenda; the security people will have another agenda; the financial institutions will have another agenda and whoever else is in that.

Are you satisfied that, with the various agendas that are going on and your feeding in that data, security is actually enhanced at the end of the day?

Ms. Terri O'Brien:

I would say yes, absolutely. It is further enhanced with every amount of information sharing that we have.

Of course, we participate, as Justin and Martin said, in a lot of central forums, in information sharing through some committees, and the CCTX has been a great addition in recent years. But the actual event sharing in the moment of a particular theme or threat vector that is in the marketplace at any given time is really pivotal to detecting it and preventing that fraud. Then it benefits the entire ecosystem. We at Interac will speak with individual financial institutions on a daily basis, because those threat factors continuously change. It's been quite effective.

The Chair:

I'm assuming Payments Canada would adopt the same answer. Is that correct? Okay.

I have a final question for Payments Canada. I've never quite understood why, when I'm paying a bill online, the money clearly comes out of my bank account but is not credited to the vendor for a day or two or three. It puzzles me that it's not an instantaneous transaction. Do you have an answer to that?

Mr. Justin Ferrabee:

Yes. As an infrastructure layer, we don't interact with consumers at the bill payment level, but part of our modernization program includes the creation of a real-time payment rail, which would do exactly that—eliminate the lag in deposits, cheque holds, bill payments and the like. So, if you keep your fingers crossed, you'll see one coming soon.

The Chair:

Okay. Well, I'll lie awake at night waiting for that.

Some hon. members: Oh, oh!

The Chair: We have Mr. Cannings, and then Mr. Eglinski.

Mr. Richard Cannings:

I'm just going to follow up on what Mr. McKay was asking, about comparing the credit card and the Interac model.

I had Mastercard representatives in my office last week telling me about their system. As I recall, Mastercard and Visa are more of an intermediary between banks, vendors and individuals, whereas Interac has sort of a direct line into your bank account. I'm just wondering if that adds more risk to a transaction, having that direct line into your bank account, whereas the other ones seem to be having more layers where security could kick in. Maybe it's the other way around. I don't use Interac a lot, and it's not because of this, but I'm just curious as to this direct access to your bank account. What sort of security questions come into that?

Ms. Terri O'Brien:

I actually think it reduces the risk to have the closed-loop private network. For clarity, the direct connection is called an API, or an application programming interface that we have to the financial institution, through which all transactions flow. The sending institution—your bank, for example—would vet that you have the funds available and then send it in real time across our payment infrastructure to the receiving institution, and we would be able to facilitate those transfers. I do believe the direct connection reduces risk. We can monitor and manage the system appropriately.

(1805)

Mr. Richard Cannings:

Mr. McKay also mentioned bill payments, for instance. Is that similar? When I'm paying a bill, I don't think Interac is involved, but when I'm paying a bill through my bank, is it a similar process?

Ms. Terri O'Brien:

Interac does do some of those transactions, and we're looking at it. Certainly, e-transfers are easy to understand. If you're paying a service provider, a plumber in your home, you may choose to use Interac e-Transfer, and those are real-time payments today.

The bill payment interface that you may use with, say, Rogers, to pay your cable bill, for example.... Today those payments are held at the financial institutions and then remitted through a batch process. We're actively working with them on how to make those payments real-time, because we have real-time capabilities already, but today, those are batch-processed payments at each of the Canadian financial institutions. It's just a legacy thing.

The Chair:

Thank you, Mr. Cannings.

Now we have Mr. Eglinski.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

This is for Interac. Earlier, you stated that you kept all your stuff within Canadian servers and stuff like that, but you do provide international service to foreign cardholders. Is that correct?

Ms. Terri O'Brien:

We do have some international remittance on our Interac debit product. I think somebody had an example. If you were in the United States and you wanted to withdraw money through your Interac bank card, you could use a third party ATM. We do have an ability for you to withdraw funds when you're in another country.

Mr. Jim Eglinski:

Someone from a foreign country cannot use your system. Do you maintain a relationship with foreign banks in such a case?

Ms. Terri O'Brien:

No, we do not maintain foreign banking relationships.

If you, as a Canadian consumer with a Canadian bank account, choose to withdraw funds if you're visiting Texas, for example, you can withdraw funds in Texas through your Interac debit card. But no, we do not maintain foreign banking relationships.

Mr. Jim Eglinski:

I was wondering about security.

I'll turn it over to my friend, who had a question for you.

Ms. Terri O'Brien:

Sure. [Translation]

Mr. Pierre Paul-Hus:

Thank you, Mr. Eglinski.

I was away for a few minutes. I don't know whether the question has already been asked, but I don't think so.

How many direct attacks on systems do you experience each day or month?

Can you tell us where the attacks come from? Are the attacks carried out by individuals, by people in Canada or abroad? Are any attacks carried out by specific countries?

Both witnesses can respond. [English]

Mr. Martin Kyle:

As you can appreciate, we don't describe the details of our specific security capabilities or security incidents or events. Suffice it to say, the financial industry receives attacks all the time from everywhere. [Translation]

Mr. Pierre Paul-Hus:

Without providing the details of your organizations, can you tell us what type of attacks are carried out? Are the attacks carried out by isolated individuals or organizations? Can we have this type of information? [English]

Ms. Terri O'Brien:

It might be important for the committee to make a distinction between attempts and attacks.

I would say that all financial institutions, payment ecosystem providers and settlements providers are going to sustain attempts. At Interac, we have a managed detection and response, so that when there is an attempt to infiltrate our systems, we can see it. We're actively monitoring it and we're preventing it to make sure that it doesn't happen.

I'd say attacks are relatively few. What I do know of them, from some of our partners and through some of these forums where they're reported, is that in recent years they are sophisticated. I don't think we're seeing a lot of the one-off you described. They are more sophisticated attempts that are coming through. [Translation]

Mr. Pierre Paul-Hus:

Do you have an obligation to disclose to the banks? You're an intermediary between the different banks. When the threats are more significant, do you have a time frame, a number of hours in which you must inform the banks and the government?

When it comes to the government, I don't think that there's an obligation to disclose. However, in terms of your business partners, is there an obligation to disclose?

(1810)

[English]

Ms. Terri O'Brien:

We don't have an obligation to disclose among the various financial institutions. That's not a legislative requirement, but we do have trusted channels through which we do share some of that information for the betterment, safety and soundness of the ecosystem. We will share information on a very specific basis with the related FI. [Translation]

Mr. Pierre Paul-Hus:

You clearly referred to sophisticated operations, which require significant resources. Can you give us an idea of where the threats are coming from? [English]

Ms. Terri O'Brien:

I think the new cyber unit of the RCMP is probably best placed to pinpoint where in the world they're coming from. There are certainly various countries where we have seen attempts and attacks, but it does migrate around. It is global and it is sophisticated. [Translation]

The Chair:

Thank you, Mr. Paul-Hus.[English]

You have five minutes, Mr. Spengemann.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thanks very much, Chair.

Thank you for being with us.

I want to pick up where my colleague Monsieur Paul-Hus left off. I also serve on the Standing Committee on National Defence. This is one of those areas where, when we talk about critical infrastructure, there is some overlap.

Without getting into the details, as you pointed out, or giving us information that should not be disclosed, how concerned are you, generally speaking, about a state-to-state attack, and how much do you consider yourselves to be part of our core infrastructure? I'll maybe add to that question. What if your service does go down for a prolonged period through an attack? What would be the implications for the country?

Mr. Martin Kyle:

First of all, as you've heard, we are safe. Security is our most important priority. We support our members, the financial institutions in Canada, in their security programs, and they support us in ours. Attacks and threats come from all sides. We must maintain a constant state of vigilance, and our members must do so as well. We rely on every Canadian citizen to be responsible for their own security. We also believe that together we can improve and increase the security of the country as a whole.

Mr. Sven Spengemann:

Are you in any capacity at all working with analysts or staff of the Department of National Defence in protecting yourselves? Is there a collaboration on such issues as AI, quantum, things that would affect other parts of our critical infrastructure as well if they came at us?

Mr. Martin Kyle:

Absolutely.

Mr. Sven Spengemann:

Are you able to elaborate in a bit more detail?

Mr. Martin Kyle:

No.

Mr. Sven Spengemann:

Okay.

Are sufficient funding levels in place, in your assessment, to do that kind of work? Are there trajectories where we need to invest more, be it talent, structural work or thinking about it differently, as we go into AI and those kinds of questions?

Mr. Justin Ferrabee:

We're very confident with what we have now. There is always opportunity and a need to continue to invest and improve. We are very confident and feel as though we have been responding well, as have our partners in government and elsewhere. There are also needs that emerge as we go, as you've heard. The bar is always rising, so the need to continue to invest, and potentially grow investment, is there.

Mr. Sven Spengemann:

Is the degree of centralization of the clearance system that we see in Canada typical of other developed democracies—the G7 and the Five Eyes—or is there an argument to decentralize the clearing system so that any given attack will be able to do less damage if successful?

Mr. Justin Ferrabee:

Our central clearing system is very similar to those of other G7 countries and other advanced financial infrastructures. We are always looking at opportunities to continue to strengthen the security. We are confident in the position we have right now, and we will always be looking. We've done a lot of research, which has been public, on distributed ledgers and their application. The low surface area and the high trust among parties are factors that diminish the need for a distributed ledger of some kind or some other new technology in that way, but we're always looking at it and investing in innovation.

(1815)

Mr. Sven Spengemann:

That's very helpful. Thanks very much.

The final question I have is strictly a personal interest question.

What percentage of consumer transactions in Canada, in your estimation, are done on a non-electronic, i.e., cash basis? What kinds of trend lines do we see? Is that data that you have?

Mr. Justin Ferrabee:

We publish a report every year called “Canadian Payment Methods and Trends”, which refers to that. You will see cash diminishing. We believe it will continue to decline, but it will never go away. It's below 50% now, and declining at a rate of somewhere between 5% and 7% a year.

Mr. Sven Spengemann:

Thank you very much, Mr. Chair.

The Chair:

Well, I must be in the declining minority, then.

We have Mr. Picard and Mr. Graham.

Mr. Michel Picard:

Can I withdraw money from an ATM machine in London or Paris?

Ms. Terri O'Brien:

I think in Europe there are some restrictions, but, yes, there are certainly ATMs that you could withdraw money from in Paris.

Mr. Michel Picard:

Can I withdraw money from St. Petersburg or Moscow?

Ms. Terri O'Brien:

No, that would violate sanctions rules.

Mr. Michel Picard:

There's nothing available on the Russian side, using my Interac card.

Ms. Terri O'Brien:

No. We would absolutely adhere to all sanctions rules in Canada.

Mr. Michel Picard:

Okay. I'm done.

The Chair:

That was quick.

Mr. Graham.

Mr. David de Burgh Graham:

I'm going to build on an earlier question from Ms. Dabrusin on cheques, and perhaps the obsolescence of the cheque as we know it.

Is it time to dump account numbers, addresses and signatures on our cheques and switch to...? I don't know if we can have a paper version of a token, but is there is any way of doing that?

Ms. Terri O'Brien:

Yes. Absolutely.

We're innovating new payment transmission technologies every day. The cheque continues, I would say, mostly in the small business space and a little bit in the retail consumer space, but not as much. There's really no need for a paper cheque anymore.

Mr. Justin Ferrabee:

We would say that we're seeing a rapid decline at the consumer level. There are still some people who rely on it, and there are some circumstances where that's the only method of payment that is going to work, for a host of reasons. Where we see the biggest need is in the small business area, and usually it's for managing information, because currently information doesn't flow cleanly across the system in terms of to, from and all the notations, and they get a copy of the cheque so they can see it.

Until we can rectify or remedy that, we see a strong hold on cheques. We're making a number of moves to improve the information that travels with payments by publishing standards. One of the most current global standards for information is the ISO 20022 standard, which includes vast amounts of information to travel with your payment, which would allow a small business person to see more, including invoice and all kinds of other information that goes with that.

Our expectation is that the decline of the cheque will come with the introduction of more robust information to travel with the payment.

Mr. David de Burgh Graham:

The cheques will continue to exist. Are you going to de-information that piece of paper?

Mr. Justin Ferrabee:

No. We're going to replace it.

Mr. David de Burgh Graham:

You're going to replace it completely. Okay.[Translation]

Mr. Picard, do you have anything to add? [English]

Mr. Michel Picard:

I'll go back to Russia.

Mr. David de Burgh Graham:

The Russians are coming.

Mr. Michel Picard:

Part of the transaction, I guess.... It might be a bit complicated to know every member of your group, but if I withdraw money in Europe, those banks are part of your network somehow. I don't know how it works. Do you know, or is it possible to know whether banks outside Russia, in Europe and elsewhere, which are maybe owned by Russian interests, are part of your network?

Ms. Terri O'Brien:

They're definitely not part of our network. I'd say the financial ecosystem in Canada has gotten quite mature and robust in our sanctions screening and in understanding transfer agencies and those types of things. We definitely secure the network.

We do very few transactions outside of Canada, so it's not a problem that we encounter or that we see.

Mr. Michel Picard:

Now I'm done.

The Chair:

Okay.

Mr. Eglinski, do you want to ask any further questions?

Mr. Jim Eglinski:

I think I'm good.

The Chair:

Mr. Paul-Hus. [Translation]

Mr. Pierre Paul-Hus:

Thank you.

We've met with Mastercard representatives. Mastercard has red teams, which are known as “ethical hackers” in French. I know that there have been discussions about the term, and I don't know how you translate it. These people work internally and really try to break and outsmart the system to see whether it has any flaws. Do you have any similar teams in your company?

(1820)

[English]

Ms. Terri O'Brien:

We do. We have a very robust IT security team, which uses a number of tools that allow us to proactively scan the system for vulnerabilities and manage detection and response capabilities as well. We actively scan our systems on a daily basis and keep quite current. [Translation]

Mr. Pierre Paul-Hus:

You have internal information technology teams. You carry out scans. However, you don't really hire hackers, who will try to find the flaws in your system. [English]

Ms. Terri O'Brien:

We have a very large IT security team. We don't call them “white hat hackers”. We call them IT security. We have a large IT security team that's constantly testing—we call it penetration testing—and scanning the system. I think it's fundamentally the same. “Red team” and “white hat hacker” are kind of buzzwords these days. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

Mr. Justin Ferrabee:

I can answer for Payments Canada. As you can appreciate, we don't speak specifics about the techniques we use, but we're well aware of those techniques, as well as other ones, and we employ those that are most suited for ensuring the safety and security of the system. [Translation]

Mr. Pierre Paul-Hus:

Lastly, the goal of our study is to look at the banking and financial system as a whole in terms of cybersecurity. As partners of the banking system, in your opinion, what are the main vulnerabilities with regard to cybersecurity? [English]

Ms. Terri O'Brien:

We see two vulnerabilities that I spoke to earlier in my remarks. One is a lack of ability of government, RCMP and law enforcement to openly share information. The criminal activity changes quickly. It is a real-time fraudulent environment, so the ability to access that information more quickly would enable us to have stronger defences than we already have today.

Two is public education, which you all seem quite aware of. Public education on what they should and should not do would go a long way to securing the system and the ecosystem. [Translation]

Mr. Pierre Paul-Hus:

Yes, we know. [English]

Mr. Justin Ferrabee:

It's an ecosystem, and there are many actors in it and varying degrees of capability and risk. We know we are stronger when we work together, and the answer to identifying vulnerabilities is to work together in identifying them and to each play our part in resolving and managing them. That's where we put our time and effort, and we believe our counterparts do as well. We support our members and anybody in the financial institutions in that coordination, and we're confident that's the best strategy. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

Mr. Spengemann and Mr. Graham are going to share five minutes.

Mr. Sven Spengemann:

Thank you, Mr. Chair.

Again, I fully appreciate the levels of confidentiality you need to preserve, but in the mind of this committee or the Canadian public, we sometimes get the perception that there's a qualitative difference between a state-led, state-directed or state-owned attack and what comes out of the private sector or the underground world. Is there qualitatively an appreciable difference in those attacks? Does a nation-state have greater capacity to do us harm, or is that misplaced, in the sense that if we are fighting effectively against attacks that come out of the “private sector”, we are as equipped to fight off a state-led attack or a series of coordinated attacks?

Mr. Martin Kyle:

Certainly, nation-states have more resources than most criminal organizations, but unfortunately we've seen that some exploits that have been leaked from nation-states have ended up in the hands of criminal actors, which creates a threat environment that's constantly evolving. While we monitor these things and focus on the safety of the national payment system, we recognize that continued investment and focus are required to address all these threats.

Mr. Sven Spengemann:

Both fronts are equal, and if you do it well, you're able to stave them off no matter where they come from.

Mr. Martin Kyle:

That's correct.

Mr. Sven Spengemann:

Okay, that's helpful. Thanks.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham:

Just to build on that a little, the intent of a state actor in the financial system would not be to take the money. That's not their purpose. It's to see who is trading money with whom, to get the metadata, as we like to talk about, and be in a position to undermine the system when they push a button if they need to.

Would that be an accurate assessment of state actors in the system?

Mr. Martin Kyle:

There are a number of motivations for various state actors. We've seen in the past that some state actors use financial systems to get around sanctions. Some state actors are motivated for other reasons. There are a myriad reasons for any threat against the financial system, and we need to be aware of all those reasons and take proactive countermeasures against those threats.

(1825)

Mr. David de Burgh Graham:

If a foreign country wanted to undermine our financial structure, its intention would not be to take data; it would be to shut down our system. I assume we are doing our utmost to prevent that from happening as well.

Mr. Justin Ferrabee:

We would not be specific on any incident we are aware of. We assure you that we think about that and take action to prevent that, and that our colleagues in other organizations around us do the same. This is not an unknown for us, or something we're not aware of. We're very clearly focused on that.

Ms. Terri O'Brien:

Yes, and our respective resiliency programs.... I can speak only for Interac, but we're at 99.9% uptime. You can achieve that uptime only if you have a resiliency strategy that includes very robust infrastructure to deliver on that, even during times of degradation of service or any attack that may attempt to disrupt the service.

Mr. David de Burgh Graham:

On another topic, in the EMV technology, what does EMV stand for? I forget what the “E” is, but “M” is Mastercard and “V” is Visa. Is that correct?

Ms. Terri O'Brien:

You know, the acronym's been around for a decade or so now, so—

The Chair:

It's a music store.

Mr. David de Burgh Graham:

HMV, that's a different thing.

Is there a qualitative difference between the credit card and debit card systems in anything we're talking about? What are the differences between the two networks and systems? Not that you have a biased position, but does one have an advantage over the other?

Ms. Terri O'Brien:

I spoke to this a bit earlier. I can only speak to the closed-loop network that we have, but we really have a layered security strategy in fraud monitoring and a robust security and risk strategy. It's multiple different controls and security standards that we have on our network.

The Mastercard and Visa networks are largely based out of the U.S., and then operate on a global basis, so they have a different set of standards that they're going to meet, a differently layered security structure that they're required to meet and a different risk appetite. I can't speak as much to theirs. I can only speak to the safety and soundness that ours provides to Canadians.

The Chair:

Thank you, Mr. Graham.

Just before I let you go, Wayne Gretzky famously said that you don't talk about where the puck is; you talk about where the puck is going. Some of the big developments in your industry are Apple, Amazon and various others. Would either one of you allow Apple into your systems?

Ms. Terri O'Brien:

I can share from an Interac perspective that we were the first to market with Apple in putting the Interac debit card in the Apple wallet. That was the TSP technology that we spoke about earlier. We also have the same Interac debit card in the Google wallet, in the Samsung wallet. Canadians do want to be able to tap their phones in the same way they tap their cards. We have found the abstraction and tokenization of that data to be extremely secure and to be a really good security protocol. Leveraging the EMV technology has created a really secure product that has very little fraud associated with it.

The Chair:

Canadian consumers using any one of those lines can be as secure as with a direct use of a Canadian bank product, then.

Ms. Terri O'Brien:

It's akin to direct use of your Interac debit card.

The Chair:

Right.

Payments Canada, go ahead.

Mr. Justin Ferrabee:

We don't interact at the point of sale and would have no reason to interact with Apple as a payment provider. Our staff would likely use it, but it's not something that's in our systems or anything. It's not a point of interaction for us.

The Chair:

Okay.

Thank you for that, and again I want to thank you for your patience. We have stressed your patience, but it is what it is. Thank you for a very interesting and useful testimony.

Ms. Terri O'Brien:

Thank you for having us.

The Chair:

With that, we're adjourned.

Comité permanent de la sécurité publique et nationale

(1640)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, je constate que nous avons le quorum.

Mesdames et messieurs les témoins, je vous présente nos excuses pour les difficultés découlant des votes; cependant, nous n'y pouvons rien et nous sommes dans cette période de l'année.

Avant de commencer, il y a eu quelques discussions à propos de la motion proposée par M. Dubé. Je vais accorder la période généreuse d'une minute afin de voir si les membres souhaitent se pencher sur cette motion.

Ma première question... Je ne devrais même pas demander cela. Je devrais plutôt déclarer que nous discuterons de cette motion dans le cadre d'une séance publique, plutôt qu'à huis clos. Sinon, nous gaspillerons davantage de temps.

Monsieur Dubé, souhaitez-vous proposer votre motion? Nous verrons si nous pouvons régler cela en une minute.

M. Matthew Dubé (Beloeil—Chambly, NPD):

J'espère qu'il me faudra moins de temps que cela. Je l'ai déjà présentée et j'en ai expliqué les motifs. C'est déjà consigné dans le compte rendu, donc je suis heureux de demander de passer aux voix.

Le président:

Madame Sahota.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je souhaite souligner que j'appuie la motion; toutefois, selon moi, le délai n'est pas très serré. La date limite est le 21 juin. À mon sens, il y a une certaine urgence en la matière, parce qu'un grand nombre de personnes se sentent mal à l'aise en ce qui concerne la façon dont le rapport a été diffusé initialement en décembre. Je recommanderais vivement que le ministre comparaisse dans les plus brefs délais.

Il s'agit d'un amendement favorable, pour ne pas permettre un délai aussi long, et qu'il comparaisse plutôt dès que possible.

Le président:

Monsieur Dubé.

M. Matthew Dubé:

Merci. Je comprends. Vu que notre comité a un calendrier chargé, j'apporterais un amendement pour que la motion se lise « à comparaître dans les plus brefs délais, mais au plus tard », et que l'on conserve la date qui figure déjà dans la motion, pour que l'expression « dans les plus brefs délais » ne signifie pas le moment où certains d'entre nous reviendront à la Chambre.

Mme Ruby Sahota:

Oui, je crois que c'est un bon amendement.

Le président:

D'accord, avons-nous un consensus quant à l'amendement?

Pour respecter la procédure, je dois demander à Mme Sahota de proposer l'amendement, et ensuite nous pourrons le mettre aux voix. Souhaitez-vous proposer votre amendement?

Mme Ruby Sahota:

Oui, voici mon amendement: que la motion soit modifiée par adjonction, après les mots « à comparaître », de ce qui suit : « dans les plus brefs délais, mais ».

Le reste de la motion demeure inchangé.

Le président:

Très bien. L'amendement est mis aux voix.

(L'amendement est adopté. [Voir le Procès-verbal])

(La motion modifiée est adoptée. [Voir le Procès-verbal])

Le président: C'est parfait. Merci beaucoup.

Nous allons maintenant porter notre attention aux témoins. Remarquez l'extraordinaire collaboration entre les membres du Comité de la sécurité publique, qu'on ne peut malheureusement pas retrouver ailleurs.

Nous accueillons d'abord Mme Terri O'Brien, d'Interac Corporation, qui sera suivie de M. Ferrabee et de M. Kyle, de Paiements Canada. Je vous remercie de votre patience.

Je vais vous demander de présenter vos exposés.

Je souligne à mes collègues qu'il est prévu que nous votions de nouveau à 17 h 30. Je présume que c'est à ce moment-là que la sonnerie d'appel retentira.

Le greffier du comité (M. Naaman Sugrue):

Il se peut que la sonnerie retentisse à 17 heures.

Le président:

D'accord, donc commençons au moins par les exposés. Nous avons entamé la réunion. Dieu merci.

Les membres consentent-ils de façon unanime à poursuivre les travaux jusqu'à ce que nous devions nous arrêter?

Des députés: D'accord.

Le président:

Très bien. La séance sera peut-être prolongée d'environ 20 minutes.

Allez-y. Encore une fois, je vous prie de nous excuser des procédures, mais nous devons les respecter.

Madame O'Brien, allez-y.

Mme Terri O'Brien (agente principale de gestion des risques, Interac Corp.):

Bonjour à tous. Je vous remercie beaucoup de l'occasion de présenter un exposé au Comité.

Je m'appelle Terri O'Brien. Je suis agente principale de gestion des risques à Interac Corp.

Dans ma déclaration préliminaire d'aujourd'hui, j'ai comme objectif de fournir des informations et des recommandations concernant la cybersécurité émanant de notre situation particulière dans le domaine des services financiers. Nombre d'entre vous connaissent déjà le service Interac. Comme des millions de Canadiens le font chaque jour, vous utilisez nos produits et nos services pour retirer de l'argent, effectuer des paiements et virer des fonds en toute sécurité et de façon pratique.

Ce que vous ne savez peut-être pas, c'est que la propriété et l'exploitation d'Interac sont entièrement canadiennes. Ce qui nous distingue, c'est non seulement nos racines canadiennes, mais aussi la confiance que nous accordent les Canadiens, confiance que nous avons gagnée au cours de nos 35 années d'existence. L'an passé, les Canadiens ont effectué 6,6 milliards de transactions et ont déplacé plus de 415 milliards de dollars à l'aide de notre gamme de produits, y compris le service de paiement par débit Interac et le service de virement électronique Interac.

Notre entreprise offre depuis des décennies des produits pour faciliter les paiements en temps réel entre les Canadiens, y compris notre service de virement électronique Interac, qui est offert depuis 2002. Bien entendu, la prestation de ces services comprend la détection des fraudes en temps réel, 24 heures sur 24, 7 jours sur 7. Les paiements en temps réel s'accompagnent de la nécessité d'offrir des capacités en matière de sécurité, de prévention et de détection en temps réel, que nous avons bâties au fil du temps. Nos capacités en temps réel relatives à la cybersécurité et aux fraudes aident les Canadiens à effectuer des transactions numériques en toute confiance à l'aide d'une variété de dispositifs et de plateformes, y compris des appareils mobiles. Cependant, nous respectons nos valeurs fondamentales, qui sont au coeur de notre histoire, notamment la responsabilité, la sécurité et la solidité de l'entreprise.

La sécurité constitue un élément clé de toutes nos activités, qu'il s'agisse de lutter contre la fraude dans notre réseau ou de protéger les renseignements financiers personnels des Canadiens. En conséquence, la cybersécurité est quelque chose à laquelle nous réfléchissons beaucoup.

Alors que notre économie et notre société sont devenues de plus en plus numériques, ce n'est un secret pour personne que le rythme de la cybercriminalité s'est accéléré. Comme vous l'avez assurément entendu dans certains témoignages, et comme nous l'avons lu et vu dans des rapports, il n'a jamais été aussi facile pour les gens dans le monde entier d'avoir accès à des biens et des services issus de la cybercriminalité. Les sites Web où l'on offre des produits liés à des activités frauduleuses et au cybercrime vendent actuellement de tout, de numéros de cartes de crédit à des authentifiants de comptes de médias sociaux de même que des attaques par déni de service. Tout cela est accessible grâce à un simple clic et moyennant plusieurs centaines de dollars.

À cet égard, les responsables d'Interac sont très satisfaits de constater que le gouvernement a créé le Centre canadien pour la cybersécurité l'an passé et a affecté de nouveaux fonds au domaine de la cybersécurité dans le dernier budget. Nous appuyons aussi la création de l'unité centralisée de lutte contre la cybercriminalité de la GRC.

Interac occupe une position unique au centre du secteur des services financiers au Canada. Nous agissons à titre de centre d'échange de paiements et de renseignements numériques visant à faciliter l'interopérabilité des paiements et des renseignements apparentés entre les banques canadiennes, les coopératives de crédit, les caisses populaires, les entités qui traitent les paiements, les entreprises et les consommateurs canadiens. En conséquence, notre situation unique nous permet de détecter des activités de cybercriminalité, y compris la fraude et le blanchiment d'argent, quand les fonds circulent dans notre système et entre les institutions.

Ainsi, Interac joue un rôle unique au centre de l'écosystème. Alors que chaque institution financière peut détecter des activités de fraude et de blanchiment d'argent dans les comptes de ses clients seulement, Interac peut déceler des activités criminelles dans toutes les institutions.

Afin de cerner des schémas d'activité criminelle, nous avons recours à des outils sophistiqués qui utilisent l'apprentissage machine et la modélisation comportementale prédictive. Quand nos systèmes relèvent un risque élevé d'activités frauduleuses, ou des activités qui soulèvent des soupçons à cet égard, nous prenons immédiatement des mesures, y compris l'arrêt ou l'interdiction de transactions.

Nous communiquons aussi directement avec les institutions de l'ensemble du système financier. Nous collaborons et échangeons des renseignements pour renforcer notre résilience et notre sécurité collectives dans l'économie canadienne. Pour vous donner un exemple pratique, cela s'applique quand nous constatons que des criminels financiers utilisent de nombreux comptes différents pour cibler une banque, une coopérative de crédit ou une caisse populaire en particulier. Dans cette situation, nous alertons l'institution visée, tout en travaillant simultanément à bloquer l'activité et à éliminer les vulnérabilités dans les différentes institutions d'envoi.

Parce que la cybercriminalité peut frapper à toute heure, nous ne baissons jamais la garde. Nos systèmes de détection et de prévention fonctionnent 24 heures sur 24, 7 jours sur 7, et nous avons toujours du personnel en poste, ce qui nous permet de lutter contre la cybercriminalité en temps quasi réel.

Nous améliorons constamment notre approche pour assurer la sécurité des transactions effectuées par les Canadiens au moyen de nos réseaux. En 2018, nos pratiques en matière d'atténuation des risques liés à la fraude ont permis de prévenir plus de 100 millions de dollars en perte causée par des fraudes, et nous avons fait fermer plus de 4 300 sites Web malveillants.

Nous collaborons aussi maintenant avec la GRC et les forces policières locales pour les soutenir et leur fournir de l'aide dans le cadre d'enquêtes liées à la fraude et aux activités criminelles connexes. La protection des renseignements financiers des Canadiens dans l'environnement changeant des modes de paiement constitue la principale priorité d'Interac.

(1645)



Depuis la création des portefeuilles électroniques, les consommateurs effectuent maintenant des paiements à l'aide de téléphones intelligents et d'autres appareils, vu que les paiements mobiles sont de plus en plus populaires auprès des consommateurs canadiens et répandus dans les commerces.

Afin de sécuriser les transactions effectuées à l'aide du réseau de paiement par carte de débit sur appareils mobiles, Interac a été, à l'échelle internationale, parmi les premières entreprises offrant un réseau national de paiement par débit à devenir fournisseur de service de jeton, ou FSJ. La plateforme FSJ d'Interac fait en sorte que les renseignements personnels liés à l'identité, y compris les numéros de compte, sont remplacés par des informations randomisées, ou des jetons, qui ne peuvent être utilisées par des pirates informatiques ou par d'autres criminels.

Accroître l'utilisation des jetons constitue une façon pour nous d'améliorer la cybersécurité au bénéfice des Canadiens. La collaboration et la coordination entre les entités privées et publiques jouent aussi un rôle central pour combattre le grand nombre de cybermenaces qui existent de nos jours.

À nos yeux, il y a trois domaines d'intérêt particulier qui peuvent grandement profiter aux Canadiens. Le premier concerne l'échange de renseignements avec les responsables de la nouvelle unité de lutte contre la cybercriminalité de la GRC. Le deuxième porte sur une approche plus ciblée de la détection des cybercriminels. Le troisième tient à l'éducation et à la sensibilisation continues du public.

Les responsables d'Interac sont d'avis qu'il y a une occasion de réduire les obstacles qui existent actuellement afin d'accroître l'échange de renseignements concernant des cybermenaces entre Interac et le gouvernement par l'entremise de canaux sécurisés et fiables. Pour cela, il faudra apporter des modifications législatives, de même qu'ajouter des dispositions refuges, afin de créer des canaux de communication et de dissiper les préoccupations touchant les mesures d'application.

Par ailleurs, en ce qui concerne la détection de cybermenaces, nous sommes d'avis qu'il est avantageux d'utiliser une approche plus ciblée comme point clé. La façon dont les cybermenaces sont détectées aujourd'hui s'apparente à la pêche à la drague, en ce sens que toutes les transactions font l'objet d'un examen et d'une analyse de même envergure. Un modèle plus efficace consisterait à mettre l'accent sur les listes de cybercriminels et de cybermenaces connus, ainsi que sur les vecteurs et comportements, en utilisant des renseignements provenant du gouvernement et des services de police, des institutions financières et d'Interac.

Interac pourrait jouer un rôle central à cet égard, compte tenu de sa capacité à détecter les activités criminelles dans l'ensemble de son réseau et de ses liens avec plus de 300 institutions financières. Interac, qui est au coeur de l'écosystème actuel, pourrait constituer un partenaire fiable en matière d'échange de renseignements avec la GRC à l'avenir, pour permettre aux deux organisations d'appliquer une approche ciblée à la détection et à la prévention des crimes, au lieu de soumettre toutes les transactions à un examen. Nous sommes d'avis que le gouvernement peut, et devrait, adopter un rôle de leadership en établissant et en maintenant des processus et des chaînes de responsabilité clairs.

Pour terminer, les responsables d'Interac reconnaissent qu'il est nécessaire d'informer et de sensibiliser de façon continue les Canadiens aux cybermenaces et aux pratiques exemplaires en matière de sécurité pour qu'ils connaissent davantage les risques actuels et les moyens de protéger leur sécurité. Nous menons de façon régulière des campagnes proactives conçues pour éduquer et informer. Nous participons aussi à des forums, comme le groupe de travail sur l'éducation du public du Bureau de la concurrence, pour échanger nos idées et communiquer nos résultats. Nous collaborons aussi activement avec la GRC et les organismes locaux d'application de la loi.

Nous serons heureux de collaborer davantage avec le gouvernement à l'avenir en matière d'échange de renseignements, de détection ciblée et d'éducation du public.

Enfin, j'aimerais souligner l'engagement d'Interac à l'égard de la cybersécurité et notre volonté de collaborer avec le gouvernement, comme nous le faisons aujourd'hui. Nous appuyons les initiatives et les investissements récents du gouvernement fédéral, et nous croyons que des activités continues d'éducation et des discussions comme celle-ci peuvent faire progresser des solutions à l'échelle de l'industrie pour aider à protéger les Canadiens contre la cybercriminalité.

Merci beaucoup.

(1650)

Le président:

Merci beaucoup, madame O'Brien.

Monsieur Ferrabee, allez-y. [Français]

M. Justin Ferrabee (chef des opérations, Paiements Canada):

Bonjour.

Je suis Justin Ferrabee. Je suis le chef des opérations de Paiements Canada.[Traduction]

Merci d'avoir invité Paiements Canada à contribuer à l'étude.

Laissez-moi commencer par rassurer le Comité quant au fait qu'à Paiements Canada, la sécurité est notre plus grande priorité dans tout ce que nous faisons. Elle retient l'intérêt et exige des ressources et des investissements plus que tout autre besoin. Cela signifie que nous concevons, examinons, modifions, mettons à jour et exploitons nos systèmes pendant que nous surveillons les risques. Nous considérons la sécurité comme une condition préalable à l'innovation dans le milieu du paiement. Nous demeurons dans un état de vigilance constant et intervenons de façon décisive, au besoin, afin de nous assurer que nous gérons les risques adéquatement et que nous restons en sécurité.

Au cours des prochaines minutes, je vous expliquerai qui nous sommes et ce que nous faisons, je décrirai notre approche axée sur la collaboration en matière de cybersécurité, et je vous adresserai nos recommandations pour la réduction du risque dans le secteur financier.

Paiements Canada exploite les systèmes de compensation et de règlement nationaux du Canada. Même si l'organisme est peu connu de la plupart des Canadiens, il joue un rôle essentiel dans l'économie et dans les activités quotidiennes d'institutions financières et d'entreprises de partout au pays. Les systèmes de Paiements Canada permettent de s'assurer que les paiements entre institutions financières — l'ensemble des paiements effectués dans l'économie — sont effectués de façon sûre et sécurisée, chaque jour. La valeur des transferts est supérieure à 50 billions de dollars par année.

Nous sommes guidés par notre mandat et par les objectifs en matière de sécurité publique que sont la sûreté, la sécurité et l'efficience du système de compensation et de règlement canadien. En consultation avec les membres et les intervenants, nous maintenons également un cadre de règles et de normes qui atténuent les risques et facilitent l'échange de paiements et le déploiement de nouveaux produits et services de paiement.

Étant donné que les cybermenaces évoluent rapidement, Paiements Canada accroît continuellement ses défenses. Nous avons établi un plan d'action en matière de cybersécurité fondé sur des principes de conception sécurisés et sur les normes de l'industrie. Le plan garantit que nous surveillons constamment nos activités et que nous corrigeons les lacunes afin de maintenir leur résilience.

Paiements Canada fonctionne au sein d'un réseau d'institutions financières, d'organismes de réglementation et d'autres infrastructures des marchés financiers. Nous sommes tenus de respecter les normes de sécurité mondiales les plus élevées, y compris les consignes de la Banque des règlements internationaux intitulées Guidance on Cyber Resilience for Financial Market Infrastructures, le programme pour la sécurité de la clientèle de SWIFT et le Cadre de cybersécurité du NIST.

Nous travaillons également en étroite collaboration avec la Banque du Canada pour nous assurer que nous répondons aux exigences relatives à l'atténuation des cybermenaces au moyen d'évaluations internes et externes. En dehors de ces exigences, nous établissons des règles et des normes que nos membres doivent respecter relativement à la sécurité des effets de paiement et à la connectivité des systèmes.

D'un vaste point de vue industriel axé sur la collaboration, nous travaillons très étroitement avec des partenaires du secteur financier par l'entremise de groupes industriels du domaine de la cybersécurité, comme le Conseil canadien de gouvernance en matière de cybersécurité des services financiers, le groupe de spécialistes de la cybersécurité de l'Association des banquiers canadiens et du Financial Services Sharing and Analysis Center.

Par ailleurs, nous participons à des exercices pour la continuité des activités et la cyberrésilience au sein de l'industrie et dirigeons de tels exercices, et nous échangeons des renseignements avec des organismes et organisations partenaires dans le milieu de la cybersécurité. Il s'agit notamment du Centre canadien pour la cybersécurité, de la Direction générale de la protection des infrastructures essentielles de Sécurité publique Canada, de l'Équipe nationale des infrastructures essentielles de la GRC et de l'Échange canadien de menaces cybernétiques. En plus de ces collaborations, nous intervenons activement au sein du milieu international du cyberrisque avec nos partenaires de la Banque du Canada.

Dans le cadre de toutes ces activités, nous nous classons continuellement dans le premier percentile de l'industrie mondiale pour la sûreté et la sécurité et nous nous comparons constamment à nos homologues étrangers.

En étroite collaboration avec nos institutions financières membres, la Banque du Canada et le ministère des Finances, nous entreprenons actuellement un programme majeur visant à moderniser les systèmes de paiement du Canada afin de répondre à la demande croissante en produits de paiement nouveaux, sécuritaires et novateurs. La modernisation se soldera par l'établissement d'une nouvelle infrastructure de paiement conçue pour renforcer le système actuel.

Grâce à notre diligence et à notre progression vers des systèmes de paiement modernes, nous avons cerné des lacunes qui existent en dehors de notre domaine, sur lesquels l'étude pourrait avoir une incidence. La coordination entre les secteurs public et privé est manifestement nécessaire dans le cadre de la réaction aux attaques perpétrées contre l'infrastructure essentielle, de même qu'un point de contact unique et clair dans le secteur public. Ces améliorations nous aideront à mieux échanger de l'information, de façon protégée, ainsi qu'à gérer et à prévenir les futures attaques. La publication en 2018 de la Stratégie nationale de cybersécurité et les récentes avancées réalisées par le Centre canadien pour la cybersécurité seront utiles à ce chapitre.

En même temps, il faut rendre prioritaire la reprise des systèmes cybernétiques essentiels en cas de panne généralisée. Une politique qui étend les exigences en matière de cybersécurité jusqu'à la chaîne d'approvisionnement des systèmes essentiels contribuerait à l'amélioration de la résilience des composantes qui dépendent de l'infrastructure nationale et du système financier dans leur ensemble.

(1655)



Des investissements dans les politiques et dans la cybersécurité peuvent également favoriser l'atténuation du risque pour la chaîne d'approvisionnement numérique. La chaîne d'approvisionnement moderne comprend souvent des centaines, voire des milliers, de composants logiciels qui sont intégrés dans des systèmes essentiels provenant d'entreprises et de communautés de partout dans le monde. Il est important de faire le suivi et l'inventaire de tous les composants d'un système et de s'assurer qu'ils restent sécurisés.

Dans le milieu de la salubrité des aliments, des normes d'étiquetage obligent les entreprises à informer les clients au sujet des ingrédients des produits et de leur valeur nutritive, mais, dans le monde informatique, aucune norme de ce genre n'aide les clients à comprendre quels composants et risques pourraient être associés au logiciel. Une politique favorisant l'atténuation du risque pour la chaîne d'approvisionnement numérique est nécessaire, et l'étiquetage systémique des composants logiciels devrait être étudié du point de vue de ses avantages pour l'économie.

En outre, nous croyons fermement que l'on pourrait en faire plus pour remédier à la pénurie de main-d'oeuvre qualifiée en matière de cybersécurité. On manque déjà de gens aptes et, compte tenu de la gravité croissante des menaces, on a besoin de politiques et de stratégies permettant de former, d'attirer et de maintenir en poste des travailleurs qualifiés. On pourrait ainsi s'assurer que les entreprises canadiennes sont capables de croître et d'innover en toute sécurité à mesure qu'elles étendent leur utilisation des technologies numériques.

Enfin, nous considérons qu'il faut informer et sensibiliser les Canadiens au sujet de l'importance d'une bonne hygiène cybernétique afin de protéger leurs renseignements personnels et financiers en ligne. Par exemple, actuellement, des millions de Canadiens recherchent des applications technologiques et financières qui imitent les services des systèmes bancaires ouverts. En cherchant ces services, ils regroupent des informations relatives à leurs comptes sur de multiples plateformes et s'exposent ainsi à des cybermenaces.

Paiements Canada a été ravi de constater que plusieurs de ces problèmes — et des engagements à l'égard de les régler — ont été inclus dans le budget fédéral de 2019, mais nous savons que les cybermenaces ne disparaîtront pas. Elles évoluent tout aussi rapidement, voire plus vite, que la numérisation et la modernisation dans toutes les industries. Nous devons travailler ensemble afin de renforcer la résilience face à ces menaces d'une manière qui garantira que l'innovation ne sera pas ralentie.

Même si toutes les organisations ont la responsabilité de se protéger contre les attaques cybernétiques, il est beaucoup plus efficace de le faire de façon collective ou sous la forme d'un réseau. La cybersécurité est un enjeu qui touche l'économie canadienne et notre sécurité nationale dans leur ensemble. Paiements Canada est enthousiaste à l'idée de contribuer à l'établissement d'une stratégie de défense fondée sur un réseau et de la soutenir.

Merci.

(1700)

Le président:

Merci.

Chers collègues, il nous reste 12 minutes. Si nous continuons jusqu'à cinq minutes avant le vote, vous obtiendriez quatre minutes, puis il y aurait un autre tour de quatre minutes, et ce serait à peu près tout.

Je vous demanderais ce que vous pensez de la possibilité que nous puissions revenir passer une heure auprès de ces personnes, si elles sont disponibles. Pouvons-nous faire cela?

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Je ne serai pas là.

Le président:

D'accord, il n'y a pas de votes, pas de motions. C'est entendu. Nous reviendrons pour une heure. J'ai simplement l'impression que nous abusons du temps de ces personnes.

Nous serons de retour ici, probablement vers 17 h 30.

Sur ce, Mme Sahota dispose de quatre minutes, puis M. Paul-Hus aura le même temps de parole.

Mme Ruby Sahota:

Merci.

Madame O'Brien, vous avez parlé de sites Web malveillants. À quelle fréquence observez-vous la création de tels sites Web? Quelle part de vos capacités est utilisée pour leur traçage? Pourriez-vous nous expliquer un peu comment vous tentez de sensibiliser les consommateurs afin qu'ils ne soient pas dupés?

Mme Terri O'Brien:

L'an dernier, Interac a traité 4 300 de ces sites Web d'hameçonnage. Nous avons travaillé avec un chef de file de l'industrie, un de nos partenaires, afin de les retirer. C'est un partenaire semblable qui travaille auprès de nombreuses institutions financières. Les grandes institutions financières font l'expérience d'un bien plus grand nombre d'incidents d'hameçonnage ou de sites Web frauduleux qui sont créés.

Les sites Web sont conçus pour recueillir des renseignements personnels qui permettent d'identifier une personne — les justificatifs d'identité et autres renseignements du genre —, afin de pouvoir s'emparer de leurs comptes bancaires ou d'avoir accès à d'autres systèmes de traitement des paiements dans le but de vider les fonds. Voilà l'intention des gens qui créent ces sites Web. Nous constatons qu'ils se sont complexifiés au cours des dernières années. Je pense que les gens conviendraient du fait qu'ils s'améliorent pour ce qui est de voler les logos et les marques et d'avoir l'air de sites Web légitimes.

Nous participons activement à la sensibilisation du public à cet égard. Il est très important que vous sachiez que votre institution financière ne vous enverra pas de liens et de courriels afin que vous cliquiez et vous retrouviez sur ces sites Web malveillants. Nous avons des moyens de sensibiliser le public afin qu'il vérifie pour s'assurer qu'il se trouve bel et bien sur le site Web de sa propre institution financière ou sur le site Web d'Interac, pas sur un faux site.

Mme Ruby Sahota:

Vous avez également abordé un peu les portefeuilles mobiles, et cela fait maintenant un moment qu'Interac utilise un système sans contact. Cette situation a-t-elle entraîné une augmentation au chapitre des incidences de la fraude? Renonçons-nous à la sécurité par souci de commodité? Pourrez-vous nous éclairer un peu à ce sujet?

Mme Terri O'Brien:

En fait, je dirais que non. La technologie mobile est plus sécuritaire. Elle s'apparente à la technologie sans contact, alors elle utilise la technologie des cartes EMV. Cette technologie comprend un assez bon nombre de niveaux. J'ai également mentionné la création de jetons. Ce qui est stocké dans les téléphones, en réalité, c'est un jeton, pas le numéro de carte. On mise sur la technologie sans contact, qui est très sécuritaire. Nous avons presque éliminé la fraude par débit Interac. C'est en grande partie grâce aux cartes à puce et aux NIP. Ce qui reste, et le taux est vraiment bas — il ne pourrait pas être plus bas —, découle de codes malveillants exploitant une faille de sécurité aux États-Unis, où il existe encore des terminaux à bande magnétique, mais, effectivement, au Canada, cette technologie est extrêmement sécuritaire.

Mme Ruby Sahota:

Nous avons un peu entendu parler du fournisseur de service de jeton par les témoins de Mastercard quand ils ont comparu. Je n'en avais jamais entendu parler auparavant. On dirait que — et corrigez-moi si je me trompe — ce système n'est pas utilisé constamment. Pourquoi Interac n'adopte-t-il pas complètement le système de jetons afin que les renseignements personnels soient éliminés?

(1705)

Mme Terri O'Brien:

Interac a élaboré et déployé son propre fournisseur de service de jeton. Il est exact de dire que nous n'avons recours aux services d'aucun autre fournisseur, que ce soit Mastercard ou un autre. Nous possédons notre propre fournisseur de service de jeton. Nous déployons notre propre technologie parce qu'elle est très sécuritaire et que nous pouvons gérer et maintenir les mesures de sécurité qui s'y rattachent.

Le président:

Je vous remercie, madame Sahota. [Français]

Monsieur Paul-Hus, vous avez la parole pour quatre minutes, s'il vous plaît.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Messieurs, je vous remercie de votre présence. Nous sommes désolés du chambardement dû aux votes à la Chambre.

Dans le cas d'Interac, si je fais un virement, le destinataire aura 30 jours pour accepter les fonds. À quel endroit l'argent qui sort de mon compte de banque virtuellement est-il gardé? Quel est le fonctionnement? [Traduction]

Mme Terri O'Brien:

C'est une très bonne question. Je pense qu'elle concerne notre produit Virement Interac, qui compte plusieurs options différentes. Le dépôt automatique est une transaction immédiate en temps réel. Celle que vous avez décrite, c'est notre service de transaction de type « question et réponse », où le destinataire doit répondre à une question de sécurité afin que l'argent soit déposé dans son compte. Dans ce cas, comme la personne ne consulte peut-être pas ses courriels tous les jours, elle dispose de 30 jours pour accepter le virement. Toutefois, ce qui arrive, dans le cas de la personne qui envoie la transaction, c'est que l'argent est retiré de son compte. Il s'agit d'un modèle de fonds immédiatement disponibles alors les fonds sont accessibles. Ils sont détenus par l'institution financière qui les envoie dans un compte en suspens, puis, une fois que le destinataire a répondu à la question de sécurité, ils sont libérés. Ils sont sécurisés en tout temps. [Français]

M. Pierre Paul-Hus:

Si j'ai bien compris, si je fais affaire avec la Banque Royale, l'argent ne s'en va pas chez Interac. L'argent va rester dans un compte de la Banque Royale.

En fait, souvent, il y a une inquiétude. Quand le transfert est effectué, on n'a plus de contact. On attend que le destinataire accepte les fonds. Par contre, si cette personne ne reçoit pas l'argent, on s'inquiète de savoir où est rendu l'argent. C'est donc la banque émettrice qui l'a.

J'essaie de comprendre le système technique. D'un point de vue virtuel, est-ce qu'une autre personne pourrait intercepter l'envoi? Est-ce possible qu'un pirate informatique intercepte un transfert? Dans un tel cas, qu'est-ce qui pourrait être fait? [Traduction]

Mme Terri O'Brien:

La réponse est non. Il s'agit d'un réseau privé en boucle infinie hautement sécurisé. Même si Interac exploite l'infrastructure, il a également établi la réglementation et la gouvernance des activités par lesquelles les fonds sont virés à partir de chaque institution financière. Ce que nous faisons, c'est fournir nos services aux institutions financières qui veulent offrir l'option du type « question et réponse ». Toutefois, la transaction ne pourrait à aucun moment être interceptée. L'argent est détenu en toute sécurité par l'institution financière, puis, une fois libéré, il est acheminé vers l'institution destinataire, de façon sécuritaire, par l'entremise de l'infrastructure d'Interac. [Français]

M. Pierre Paul-Hus:

Donc, vous dites que le chemin du transfert est parfaitement sécurisé. Il n'y a aucune possibilité d'intervenir. [Traduction]

Mme Terri O'Brien:

Exactement.

Nous disposons d'un réseau privé entièrement sécurisé et en circuit fermé parmi les quelque 300 institutions financières, coopératives de crédit et caisses populaires de tout le Canada. [Français]

M. Pierre Paul-Hus:

Vous avez parlé un peu du gouvernement. Quelles lois actuellement devraient être modifiées pour être plus efficaces pour vous? Il y a sûrement des mesures législatives qui ne sont pas efficaces, qui devraient être améliorées. [Traduction]

Mme Terri O'Brien:

C'est une excellente question.

Aujourd'hui, nous travaillons activement avec la GRC et les forces de l'ordre sur l'échange de certaines informations, même si cela nécessite souvent l'obtention d'une ordonnance de communication. Nous proposons que certaines mesures législatives relatives à la protection de la vie privée et d'autres dispositions refuges soient adoptées, ce qui permettrait d'avoir une approche beaucoup plus ciblée relativement aux canaux de confiance que nous avons aujourd'hui, ce qui nous permettrait de nous concentrer sur la cybercriminalité et de gérer cet enjeu de manière beaucoup plus ciblée.

Nous constatons que nos communications sont aujourd'hui assez efficaces, mais elles sont imprécises et limitées à bien des égards. Nous pensons que certaines dispositions législatives nous permettraient assurément d'accroître les échanges ouverts d'information, ce qui bénéficierait à...

Le président:

Merci, monsieur Paul-Hus.

Sur ce, je vais suspendre la séance, et nous poursuivrons dès que possible pendant une autre heure. Il n'y aura aucune motion ou autre.

Encore une fois, je vous remercie de votre patience.

(1705)

(1725)

Le président:

Nous reprenons. Je constate que nous avons le quorum.

Monsieur Motz, vous n'avez jamais été aussi populaire de toute votre vie.

Nous allons commencer par des séries de questions de quatre minutes, puis nous aurons des tours de quatre minutes, puis de cinq minutes. M. Dubé devrait normalement être le prochain, mais je ne le vois pas; je vais donc passer à M. Picard. Quand M. Dubé arrivera, nous reviendrons à lui.

Encore une fois, je vous remercie de votre patience.

Monsieur Picard, vous avez quatre minutes.

M. Michel Picard (Montarville, Lib.):

Merci.

Madame O'Brien, vous avez parlé de cybercriminalité et de fraude. Quelle est la nature de la fraude que vous avez détectée sur votre système et à laquelle vous avez réagi dans le passé?

Mme Terri O'Brien:

La fraude change constamment, et elle se propage également en fonction des vulnérabilités des différentes institutions financières. La fraude la plus courante que nous observons, c'est ce qu'on appelle la fraude impliquant la prise de contrôle de comptes. Dans l'exemple de tout à l'heure, nous avons parlé de certaines évaluations relatives à l'hameçonnage, aux justificatifs d'une personne ou aux renseignements personnels identifiables qui permettent aux criminels de prendre le contrôle des comptes bancaires de ces personnes. Ensuite, ils commencent une pratique systémique qui consiste à vider les comptes bancaires en question, pour parfois envoyer les fonds à différentes institutions de réception, et ainsi retirer l'argent du système financier.

À Interac, nous nous trouvons dans une position unique, car nous pouvons voir que la fraude s'étend d'une institution à une autre dans tout notre réseau et que l'argent est envoyé à différentes institutions financières. Nous avons élaboré un système de détection des fraudes qui reconnaît les tendances et qui peut détecter ce comportement. Ensuite, soit le système bloque les transactions, soit il les suspend pour qu'on puisse réaliser un examen approfondi.

M. Michel Picard:

Quand vous bloquez une transaction, cela signifie qu'une personne qui se trouve quelque part possède les informations du titulaire de la carte. La personne peut donc ensuite avoir accès au compte bancaire du titulaire de la carte, et commencer à chercher à avoir plus que de l'argent, à obtenir des renseignements personnels qui peuvent être utilisés pour le vol d'identité et ainsi de suite. Vous pouvez bloquer une transaction, mais une partie des dommages a déjà été causée, et nous n'avons encore aucun contrôle sur le type d'informations qui ont été volées à ce stade.

(1730)

Mme Terri O'Brien:

Pas toujours. Je ne vais pas décrire tous les modèles comportementaux, mais je dirais que — il est à noter que 99,9 % des transactions sont approuvées, et que c'est simplement un indicateur de notre volume —, quand une transaction est réellement bloquée, c'est qu'il s'agit d'une opération frauduleuse connue. Nous disposons de renseignements qui nous permettent de reconnaître certaines transactions comme étant frauduleuses, généralement grâce à l'échange d'informations auquel nous participons activement avec les institutions financières, dans le cadre duquel nous recevons et transmettons de l'information. Cela arrive parfois avec la GRC et les forces de l'ordre également. C'est cet échange de renseignements qui est réellement essentiel pour que nous puissions bloquer les transactions frauduleuses connues. Dans le cas des blocages, les clients ne sont pas touchés.

M. Michel Picard:

Nous sommes encore coincés avec les NIP à quatre chiffres, ce qui donne peut-être 10 000 combinaisons possibles. Est-ce suffisant de nos jours?

Mme Terri O'Brien:

Je dirais que oui. Les cartes à puce et le NIP, les technologies des cartes à puce avec les niveaux de sécurité EMV, combinées au NIP connu uniquement par l'utilisateur, ont été très efficaces. Nous avons presque éradiqué la fraude sur les transactions Interac. La fraude se situe bien en deçà du point de référence. Comme je l'ai mentionné tout à l'heure, il s'agit seulement des derniers terminaux à bande magnétique aux États-Unis.

Je pense que c'est également efficace grâce à la sensibilisation du public. Le public a été beaucoup sensibilisé sur le fait de ne pas communiquer son NIP. Même dans les médias populaires, dans les émissions télévisées, on parle du fait que parfois, même des conjoints ne communiquent pas leur NIP entre eux. Sensibiliser le public sur la protection du NIP et sur le fait de le garder secret a été très efficace.

M. Michel Picard:

Vous avez dit avoir un réseau privé dans les banques, mais quand j'achète quelque chose dans un magasin, ma transaction passe-t-elle par un réseau entièrement privé et fermé? Si ce n'est pas le cas, dois-je le faire sur Internet ou ailleurs pour que ce soit entièrement sécurisé?

Mme Terri O'Brien:

Vous êtes entièrement en sécurité. Les claviers d'identification proviennent tous des acquéreurs et des services de traitement des paiements, et ils font tous partie du réseau en circuit fermé. Chaque point du réseau est sécurisé.

M. Michel Picard:

Qu'en est-il du fait d'aller...

Le président:

Merci, monsieur Picard.

Mme Terri O'Brien:

Cela ne passe pas par un réseau Internet ouvert.

Le président:

Je sais que vous étiez sur une lancée.

M. Michel Picard:

Non, je sais. Merci.

Mme Terri O'Brien:

Ce sont de bonnes questions. Merci.

Le président:

Monsieur Cannings, bienvenue au Comité. Je vois que vous n'êtes pas M. Dubé.

M. Richard Cannings (Okanagan-Sud—Kootenay-Ouest, NPD):

Non, pas à ma connaissance.

Le président:

Nous avions réservé quatre minutes pour M. Dubé étant donné qu'il était le prochain intervenant, mais vous pouvez peut-être reprendre votre souffle, et nous reviendrons à vous.

M. Richard Cannings:

J'aimerais reprendre mon souffle et comprendre de quoi nous parlons exactement.

Le président:

Eh bien, nous essayons de comprendre la même chose.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Tout d'abord, je remercie les deux organisations d'être ici aujourd'hui.

Je commencerai par vous, madame O'Brien. Les Canadiens se demandent — et je pense connaître la réponse, mais vous pouvez peut-être nous éclairer — si les virements électroniques Interac sont traçables.

Mme Terri O'Brien:

Pourriez-vous nous en dire plus sur la question? Que voulez-vous dire par traçables?

M. Glen Motz:

Nous parlons aujourd'hui de la cybersécurité, donc si nous avons un problème avec un virement électronique, cette transaction est-elle traçable, s'il s'agit d'une personne mal intentionnée?

Mme Terri O'Brien:

Une partie de mon témoignage aujourd'hui a porté sur le fait d'encourager la collaboration ouverte, d'augmenter l'échange d'information et d'adopter les dispositions refuges relativement à la GRC. Les transactions sont traçables. Toutefois, dans le contexte actuel, si la GRC est à la recherche d'une personne mal intentionnée, comme vous le dites, elle gardera secrètes certaines informations sur cette personne. Elle émettra parfois une ordonnance de communication, auquel cas nous communiquerons l'information que nous avons, comme l'exige la loi, et elle continuera son enquête sur cette personne.

Chez Interac, nous échangeons certaines informations avec les institutions financières et les forces de l'ordre. Nous pouvons donc disposer d'indicateurs qui guident nos modèles comportementaux, mais la GRC nous communique la façon dont elle retrace les personnes mal intentionnées dès qu'elle est en mesure de le faire.

(1735)

M. Glen Motz:

Merci.

Dans votre déclaration préliminaire, vous avez parlé d'un système d'échange proactif; du moins, je crois que c'est le terme que vous avez utilisé.

Pourriez-vous nous décrire, dans un monde idéal, quel serait le type d'échange entre votre organisation ou l'industrie de manière générale et les forces de l'ordre pour protéger les consommateurs? À quoi cela ressemblerait-il?

Mme Terri O'Brien:

Bien sûr. Je serai heureuse d'utiliser mon don de voyance et de proposer quelques bonnes idées. Nous adorerions certainement...L'unité de la cybercriminalité, en particulier au sein du gouvernement et de la GRC, ainsi que les forces de l'ordre surveilleront régulièrement certains sites de vente en ligne sur le Web indexé ou sur le Web invisible ou caché. Ces plateformes de vente en ligne ouvrent et ferment assez fréquemment, car ils tentent de cacher certains de leurs sites et certaines de leurs caractéristiques identifiables.

Dans un environnement d'échange ouvert, nous saurions cela très rapidement, et, par conséquent nous aurions la capacité — pour répondre à votre question de tout à l'heure — de tracer les personnes malveillantes qui apparaissent sur ces sites de vente en ligne en temps réel. Si cette information nous était ouvertement communiquée, nous pourrions en faire beaucoup plus pour bloquer ou surveiller les transactions potentiellement frauduleuses.

M. Glen Motz:

Les représentants de Paiements Canada, pourraient-ils intervenir sur cette question? Dans un monde idéal, quel véhicule ou quel moyen les institutions financières ou le secteur financier auraient-ils pour échanger des informations avec les forces de l'ordre, de façon à mieux protéger les consommateurs, par rapport à ce que nous faisons maintenant?

M. Justin Ferrabee:

Je vais laisser notre chef de la sécurité de l'information, Martin Kyle, répondre à cette question, car nous sommes actifs à cet égard.

M. Martin Kyle (chef de la sécurité de l'information, Paiements Canada):

Il existe beaucoup d'organisations et de groupes d'échange qui sont déjà mis en place. Dans nos commentaires, nous avons un peu parlé d'un groupe d'échange d'informations avec l'Association des banquiers canadiens, par exemple. Nous avons parlé d'échange d'informations avec une organisation sans but lucratif, l'Échange canadien de menaces cybernétiques, dont un représentant a témoigné devant le Comité, je crois. Nous échangeons des informations avec le Centre canadien pour la cybersécurité et avec la GRC. Tous ces différents groupes d'échange nous permettent d'avoir davantage d'information sur les menaces existantes et d'apprendre à détecter ces menaces dans nos systèmes, ce qui nous permettra ensuite de réagir à ces menaces.

M. Glen Motz:

Vous avez dit dans votre déclaration préliminaire que Paiements Canada transfère quotidiennement plus de 200 milliards de dollars par différents réseaux. Si c'est le cas, comment gardez-vous ces grosses sommes d'argent en sécurité pendant vos transferts? À quoi cela ressemble-t-il?

M. Martin Kyle:

Comme vous le savez, notre priorité est la sécurité de ces transferts. Nous assurons la sécurité de nos systèmes en réduisant la surface d'attaque, comme nous l'appelons dans le métier. Nous avons un groupe de membres très restreint à qui nous autorisons l'accès à ce réseau, lequel est très distinct des autres réseaux. Cette petite surface d'attaque nous permet de prêter une grande attention à ce qui s'y passe et d'identifier les menaces, de surveiller les activités et de réagir aux choses qui se produisent en temps réel.

Le président:

Merci, monsieur Motz.

Monsieur Cannings, avez-vous retrouvé votre souffle ou dois-je passer à Mme Dabrusin?

M. Richard Cannings:

J'improviserai.

Le président:

D'accord, vous avez quatre minutes.

M. Richard Cannings:

Merci.

Comme vous pouvez le comprendre, je suis un peu surpris d'être ici. Je viens de descendre de l'avion et j'ai voté, puis on m'a amené ici. Malheureusement, je n'ai pas pu entendre votre témoignage. Je n'ai aucune idée des questions qui ont déjà été abordées dans cette étude non plus.

Une question me vient à l'esprit au sujet des paiements avec les cartes à puce. Vous avez peut-être abordé la question, et je m'en excuse dans ce cas. Le Canada a été un utilisateur précoce, du moins par rapport aux États-Unis. Je m'interroge sur deux choses. Est-ce un problème si le Canada utilise largement les cartes à puce et pas les États-Unis? Je ne sais pas si cela est en train de changer. Y a-t-il un problème entre les deux pays au sujet de la sécurité de ces systèmes? La situation aux États-Unis est-elle plus préoccupante qu'ici, ou vice versa?

(1740)

Mme Terri O'Brien:

C'est une très bonne question. Nous avons pratiquement éradiqué la fraude au Canada liée aux cartes de débit avec la puce et le NIP. C'est une technologie très efficace contre la fraude, doublée d'une mesure de contrôle, et seul le détenteur de la carte connaît le NIP. Jusqu'à présent, la technologie des cartes EMV a été très efficace.

Le fait que les États-Unis n'aient pas adopté la technologie EMV présente des risques pour nous. Le secteur exerce de plus en plus de pressions sur le pays pour qu'il l'adopte. Là-bas, le nombre de terminaux de point de vente permettant l'utilisation de cette technologie augmente. Dans certains terminaux de point de vente, il est possible d'utiliser la carte à puce et la signature, mais les États-Unis ne sont pas complètement passés à un environnement permettant l'utilisation des cartes à puce et à NIP.

C'est un très bon exemple d'une situation où un consortium du secteur, en collaboration avec les entreprises de traitement des paiements qui sont au coeur de l'industrie et les partenaires de règlements, peuvent lutter contre la fraude lorsqu'ils s'unissent pour trouver des solutions.

Aux États-Unis, les Canadiens courent certainement moins de risques, mais la fraude liée aux cartes à bande magnétique est toujours d'actualité.

M. Richard Cannings:

Utiliser ma carte aux États-Unis pour acheter de l'essence présente un inconvénient, car on demande une carte à bande magnétique et un code postal. Bien entendu, les codes postaux canadiens ne fonctionnent pas là-bas.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Je peux vous l'expliquer.

M. Richard Cannings:

Je ne sais pas. Au Texas, c'est un problème.

J'allais vous poser une question sur les copieurs de cartes et les puces. Cela ne présente-t-il pas un problème?

Mme Terri O'Brien:

C'est beaucoup moins problématique pour ce qui est des cartes à puce et à NIP. Les copieurs de cartes existent toujours, bien qu'ils doivent être dotés de caméras pour saisir le NIP, mais ce n'est pas une méthode de fraude très astucieuse, car une main pourrait gêner la saisie du NIP. Donc, les risques sont minimes au Canada. Les copieurs de cartes qui copient la bande magnétique continuent de présenter un risque aux États-Unis. La bande magnétique est facile à copier.

M. Richard Cannings:

Ce sera tout pour moi.

Merci.

Le président:

Si vous avez besoin d'aide concernant le piratage, M. Graham peut vous aider.

Madame Dabrusin, vous disposez de cinq minutes, s'il vous plaît.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Ma première question s'adresse probablement davantage aux représentants de Paiements Canada. Je lisais une lettre que j'avais reçue d'une personne qui habite dans ma collectivité. Nous sommes à un point tournant où une personne peut encore signer un chèque en papier, mais le destinataire peut aussi maintenant le déposer en le prenant en photo. Toutefois, ce chèque continue de circuler avec le destinataire, qui détient les renseignements personnels et la signature de l'émetteur du chèque. Ce dernier compte sur cette personne pour qu'elle protège ses renseignements, quoiqu'il puisse s'agir d'un particulier qui ne dispose d'aucun moyen de les utiliser.

Vous a-t-on déjà informé que cela posait problème? Si c'est le cas, avez-vous des conseils à donner aux personnes à ce sujet et sur ce qu'ils peuvent faire pour protéger leurs renseignements personnels?

M. Justin Ferrabee:

Je peux parler au nom de Paiements Canada. Nous sommes à l'échelon de l'infrastructure. Nous rédigeons les règles portant sur la manière dont cela fonctionne, et nous exploitons les systèmes qui produisent l'imagerie des chèques et permettent la production de l'image numérique. Mais le consommateur est protégé et reçoit tous les services par l'entremise de sa banque. Nous appuyons la banque, soutenons nos membres à cet égard, mais la banque doit avoir des politiques.

Mme Julie Dabrusin:

D'accord.

Mme Terri O'Brien:

Au cours des nombreuses années où j'ai travaillé dans le domaine bancaire, j'ai pu constater que la technologie a grandement évolué et que l'imagerie des chèques fonctionne très bien à l'heure actuelle. Bien entendu, on encourage les clients à détruire le chèque une fois qu'il est déposé. Cependant, la détection de doubles de chèques s'est également grandement améliorée. Si une personne tente de déposer deux fois un chèque, il ne sera pas possible de le faire.

Mme Julie Dabrusin:

Merci.

Je m'adresse aux représentants de Paiements Canada. Vous avez parlé de l'étiquetage dans les chaînes d'approvisionnement numériques et de la manière de créer un étiquetage adéquat. Y a-t-il quelqu'un au monde qui fait de l'étiquetage? Existe-t-il une norme à cet égard?

M. Martin Kyle:

Non. En fait, c'est pourquoi nous...

Mme Terri O'Brien:

J'en connais une.

Mme Julie Dabrusin:

Vraiment?

Mme Terri O'Brien: Oui.

M. Martin Kyle:

Allez-y, je vous prie.

Mme Terri O'Brien:

J'ai examiné le modèle. Il est plutôt bon. Les responsables de SWIFT ont adopté un modèle dans lequel ils publient les normes de sécurité de tous leurs homologues, comme ils les appellent, non pas du point de vue d'un créancier, mais seulement d'un homologue du système. C'est un bon modèle que nous aimons beaucoup.

Cela permet à chacun des participants de l'écosystème... Si une institution financière ou une caisse populaire voit le niveau de sécurité diminuer et que cela ne répond pas aux normes, elle pourra atténuer ou limiter les risques liés à un partenariat entre institutions financières. Des choses très intéressantes ont été mises en place au cours de la dernière année.

(1745)

Mme Julie Dabrusin:

Sachant qu'il y a une seule norme et qu'une personne s'en occupe, quel rôle le gouvernement joue-t-il à cet égard? Le gouvernement doit-il adopter un modèle d'étiquetage et l'imposer à nos institutions financières, ou s'agit-il d'un rôle qui revient à un autre secteur?

M. Martin Kyle:

Je peux répondre à cette question.

Le programme de certification dont a fait mention Terri a été mis sur pied par l'organisation SWIFT pour permettre aux homologues de publier leurs certifications à l'intention d'autres parties. Si les responsables d'une organisation ont l'impression que l'autre organisation avec laquelle ils font affaire présente trop de risques, ils peuvent, en tant que propriétaires d'entreprise et grâce à leur certification, réduire eux-mêmes les risques ou demander à ce que certaines exigences soient respectées avant de continuer à faire affaire avec cette organisation.

M. Justin Ferrabee:

J'aimerais revenir sur la question de l'étiquetage des composants. La certification est une version de cela, mais c'est une version préliminaire. Il n'existe aucun précédent permettant de définir tous les éléments de la chaîne de valeur et de les communiquer et les gérer. Cela comprend de nombreux aspects. À notre connaissance, cela ne se fait pas ailleurs.

Mme Julie Dabrusin:

Selon ce que nous avons entendu, je crois, en partie, que cela se fait de plus en plus de l'autre côté de la frontière. Cela n'est pas unique au Canada, pour ce qui est de la manière de s'y prendre. Je tente de savoir quelle entité, quelle organisation est la mieux placée pour permettre au gouvernement canadien de collaborer à cet égard. Nous pouvons encourager d'autres gouvernements internationaux à participer, mais à qui la responsabilité devrait-elle revenir?

Mme Terri O'Brien:

C'est une excellente question. SWIFT est une organisation mondiale qui a emprunté cette voie très tôt. Je proposerais certainement d'inclure aussi Interac. À l'heure actuelle, nous appliquons nos règlements opérationnels et nos normes minimales, qu'il s'agisse de normes de sécurité ou de normes relatives aux participants, à l'égard de toutes les institutions financières de notre écosystème.

Nous avons mis en place une politique de gouvernance très rigoureuse et des règlements opérationnels dans le marché d'aujourd'hui. Chaque jour, nous cherchons un moyen d'améliorer ces règlements au sein du marché. Les participants prennent part au marché avec enthousiasme et respectent ces règlements, car ils leur assurent la réciprocité des paiements et l'accès à l'écosystème.

Mme Julie Dabrusin:

Merci.

Le président:

Merci, madame Dabrusin.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Je suis certain que vous avez entendu ou lu que le Canada doit décider si Huawei fera désormais partie de notre importante infrastructure. À l'approche de la technologie 5G, je me demande si les plateformes de vos deux organisations sont prêtes à utiliser des serveurs qui sont mis au point, en totalité ou en partie, par des entités étrangères susceptibles d'être assujetties à des directives extrajudiciaires provenant d'un gouvernement étranger.

Mme Terri O'Brien:

Je ne peux répondre qu'au nom d'Interac, mais je peux affirmer que ce n'est pas notre cas. Nous ne sommes pas disposés à permettre la sortie de données, compte tenu de la constitution canadienne et de nos racines. Notre société, qui a été constituée il y a environ un an, est solidement enracinée au Canada. Toutes nos données doivent demeurer au pays. Nous faisons également appel à des fournisseurs canadiens pour la prestation de tous nos services, mais nous concevons nos propres technologies. Pour répondre à votre question sur les fournisseurs de services étrangers, je dirais que nos racines sont profondément canadiennes.

M. Glen Motz:

Avant d'entendre la réponse des représentants de Paiements Canada à la question que j'ai posée précédemment, j'aimerais faire suite à votre commentaire. Si un serveur ne provient pas d'une entité étrangère, que se passe-t-il si l'infrastructure avec laquelle on transfère des données peut être dotée de commutateurs qui peuvent être piratés par une entité étrangère? Comment cela a-t-il une incidence sur vos programmes de sécurité?

Mme Terri O'Brien:

Toutes nos infrastructures et nos données demeurent au Canada et sont détenues et exploitées par Interac.

Pour répondre à votre question sur un pirate informatique étranger, je vous dirais, selon notre expérience, que la plupart des pirates informatiques sont étrangers. Nous n'avons vu que très peu de pirates informatiques canadiens.

(1750)

M. Glen Motz:

Ils accèdent à l'information par la porte dérobée; ils ne piratent pas le système. Il s'agit de certains intervenants étrangers qui, en raison de la technologie en place, pourraient intercepter des communications qui sont transmises au quotidien, sans même que nous le sachions.

Mme Terri O'Brien:

Nous effectuons des analyses de vulnérabilité ainsi que des analyses rigoureuses de la sécurité. Nous utilisons uniquement des réseaux canadiens, faisons appel à des fournisseurs de services de télécommunications canadiens et disposons de centres de données canadiens dans différentes provinces. Nous effectuons nos transactions uniquement par l'entremise de nos centres de données canadiens. Donc, je ne m'attends pas à cela.

M. Glen Motz:

D'accord. Merci.

Je m'adresse aux représentants de Paiements Canada. Quelle est votre réponse à la première question?

M. Justin Ferrabee:

Comme vous pouvez le constater, nous ne parlons pas en détail de nos moyens ou de nos principes ni de la manière dont nous gérons notre infrastructure.

Vous soulevez un enjeu très grave dont nous sommes conscients et qui nous préoccupe. L'une des raisons pour lesquelles il faut assurer le suivi des composants de la chaîne d'approvisionnement, c'est que nous savons que, si un fournisseur de services offre une technologie dont il ne connaît peut-être pas la provenance, nous n'aurions aucun moyen de savoir.

Nous devons supposer que cela n'est ni sûr ni sécuritaire, et nous devons nous préparer à cela — et c'est ce que nous faisons. Nous sommes conscients de ces risques, mais sans ce genre d'information, même s'ils affirment que c'est vrai, ce n'est peut-être pas le cas. Nous ne pouvons nous permettre de courir ces risques. Nous effectuons donc notre planification comme si ce n'était pas le cas et tentons d'y arriver.

Le président:

Vous disposez d'un peu plus d'une minute.

M. Glen Motz:

Il y a quelque temps, une personne est venue témoigner devant le Comité — et j'ai posé cette question l'autre semaine — et a dit que les Canadiens sont innocents, qualification qui, selon moi, était une manière très polie de dire que nous ne connaissons rien de notre propre cybersécurité.

Selon vos points de vue respectifs, que faut-il changer au Canada pour que les clients comprennent la nécessité de faire preuve de plus de vigilance à l'égard de la cybersécurité et donc de protéger leurs renseignements confidentiels? Que pouvons-nous faire en tant que législateurs pour les inciter à prendre des mesures?

Mme Terri O'Brien:

Je ne connais pas le contexte de ce commentaire du témoin, mais il semble porter davantage sur les connaissances de la population en général.

M. Glen Motz:

Oui.

Mme Terri O'Brien:

La capacité d'adaptation du Canada, en particulier à l'égard des institutions financières, est très solide à l'échelle mondiale.

Quant à votre question sur les clients canadiens, je suis d'accord. Je crois que l'éducation du public a une très grande importance. Il est certain qu'en cette période de l'année, compte tenu du nombre de fraudes liées à l'ARC qui se produisent, par l'intermédiaire d'appels téléphoniques et d'envois de courriels — et je suis convaincue que vous êtes tous au courant de la situation —, des Canadiens se font avoir par ces arnaques. Ils ne sont pas suffisamment informés pour savoir qu'ils doivent raccrocher le téléphone ou supprimer le courriel, et qu'ils doivent aussi renforcer le système de sécurité de leur ordinateur à domicile, car c'est une mesure importante à prendre.

Le président:

Je vous remercie, monsieur Motz.

Monsieur Graham, vous avez cinq minutes.

M. David de Burgh Graham:

Je vous remercie. J'espère que ce sera suffisant.

Monsieur Cannings, je vais vous dire comment fonctionnent les choses dont nous avons parlé plus tôt. Le code postal de votre bureau de circonscription est le V2A 5B7. Si vous essayez d'utiliser votre code postal, vous devrez utiliser les numéros suivants: deux, cinq et sept, et ajouter zéro, zéro.

Aux États-Unis, votre code postal pour utiliser votre carte est le 25700. Maintenant, vous savez comment cela fonctionne.

M. Richard Cannings:

D'accord. La prochaine fois que je serai au Texas, je m'en souviendrai.

M. David de Burgh Graham:

Faites bon voyage et n'oubliez pas que votre code postal est du domaine public. Tout le monde sait comment cela fonctionne à présent, alors voilà.

Le président:

C'est peut-être de la fraude, mais c'est une autre question.

Des députés: Ha, ha!

M. David de Burgh Graham:

Pour en revenir à la question qui nous occupe, il s'agit d'appareils fabriqués à l'étranger. Il y a une chose qui m'intrigue, et cela s'applique aux deux organisations. Lorsque des tiers vous fournissent un logiciel, ou encore du matériel, obtenez-vous toujours le code source, et procédez-vous vous-mêmes à la vérification et à la compilation?

M. Martin Kyle:

Nous faisons des évaluations des risques pour tous les logiciels et les projets que nous déployons. Ces évaluations comprennent un inventaire des bibliothèques qui sont incluses dans les applications que nous élaborons, ainsi que les défauts associés à ces bibliothèques.

La chaîne d'approvisionnement numérique provient de partout dans le monde. Ce microphone provient probablement de nombreux différents pays, de sorte qu'il faut évaluer les risques que représentent les composants utilisés dans la fabrication de l'équipement. On doit évaluer les risques afin de déceler les vulnérabilités qui pourraient permettre à des groupes rivaux de s'infiltrer dans cet équipement ou dans un logiciel.

Lorsque nous déployons quelque chose, nous nous assurons qu'il est soumis à un processus rigoureux d'évaluation des risques dans le cadre duquel nous évaluons tout ce qu'il est possible d'évaluer.

(1755)

M. David de Burgh Graham:

La question centrale est de savoir si vous avez accès au code source de ce que vous utilisez, ou si vous vous dites ce qui suit lorsque vient le temps d'évaluer les risques: « Nous n'en avons pas besoin en l'occurrence, parce que nous faisons confiance à cette entreprise. »

M. Martin Kyle:

Nous nous assurons d'effectuer des vérifications auprès des organisations qui nous fournissent le code source. Nous avons certainement accès à une partie du code source. Nous créons du code source. Lorsque nous n'y avons pas accès, nous suivons un processus rigoureux d'évaluation des risques auprès de l'entreprise qui nous le fournit.

M. David de Burgh Graham:

Terri, est-ce pareil pour vous?

Mme Terri O'Brien:

Pas vraiment. Tous nos systèmes à risque élevé et nos systèmes transactionnels s'appuient sur des codes propriétaires. Le code propriétaire signifie que nous avons une grande équipe de développement qui crée elle-même le code. Nous l'avons soumis à des normes de sécurité assez rigoureuses et à des analyses de vulnérabilité. Nous disposons d'un système de détection et de réponses géré, de protocoles de sécurité hiérarchisés assez robustes et d'un réseau privé en circuit fermé.

Nous avons, bien sûr, le code source, parce que nous avons une équipe qui l'écrit et nous avons des couches de sécurité très robustes. Nous revoyons constamment notre position en matière de sécurité.

M. David de Burgh Graham:

Qu'est-ce qu'Interac sait au sujet d'une transaction? Si je vais au magasin et que j'achète quelque chose, que savez-vous à l'égard de la transaction?

Mme Terri O'Brien:

Je peux dire au Comité que toutes les données satisfont aux normes minimales requises pour traiter la transaction et que tous les renseignements personnels permettant de vous identifier qui sont nécessaires pour faire la transaction dans votre compte bancaire et non dans celui d'une autre personne sont entièrement protégés.

M. David de Burgh Graham:

Qu'en est-il de la raison de la transaction?

Mme Terri O'Brien:

Parlez-vous du but et de l'utilisation prévue de l'objet de la transaction en ce qui concerne le commerçant chez qui celle-ci a été effectuée?

M. David de Burgh Graham:

Si vous allez à la station-service et achetez de l'essence et une tablette de chocolat, Interac sait-il que vous avez acheté ces choses ou que vous êtes allé à la station-service?

Mme Terri O'Brien:

Je ne peux pas communiquer tous les éléments de données qui sont recueillies, mais je crois que la transaction concerne le mouvement d'argent en soi. Cela ne concerne pas les biens et les services que vous achetez.

M. Richard Cannings:

Faites attention à ce que vous achetez.

M. David de Burgh Graham:

Cela s'applique à vous deux. Avez-vous des institutions membres qui ne respectent pas vos normes? Je sais que, dans le cas de Paiments Canada, l'adhésion est requise par la loi pour certaines organisations. C'est probablement la même chose pour Interac. Avez-vous des organisations trainardes après qui vous devez toujours courir et qui ne répondent pas à vos normes? Vous n'avez pas besoin de les nommer, mais y en a-t-il?

M. Martin Kyle:

Je dirais que toutes les organisations qui participent à Paiements Canada ont des normes de sécurité élevées et qu'elles satisfont toutes à des normes très rigoureuses en matière de sûreté et de sécurité.

Mme Terri O'Brien:

Je dirais tout à fait la même chose. En tant que centre de l'écosystème, Interac passe beaucoup de temps avec tous ses participants — et nous avons beaucoup plus de participants — afin de leur donner du temps pour la préparation et les essais lorsque nous rehaussons les normes de sécurité, ce que nous faisons constamment. Nous travaillons activement avec eux pour nous assurer qu'ils sont en mesure de respecter les nouvelles normes.

M. David de Burgh Graham:

Je vous remercie.

Le président:

Merci, monsieur Graham.

Monsieur Cannings, vous avez trois minutes si vous souhaitez les utiliser.

M. Richard Cannings:

Vous me prenez par surprise.

Le président:

Je peux revenir à quelqu'un d'autre.

M. Richard Cannings:

D'accord. Je suis désolé, habituellement, dans mon comité, je n'ai jamais de deuxième chance.

Le président:

Je vais revenir à moi-même et parler de ce qui m'intéresse.

J'ai ici ma carte Visa de la Banque CIBC et j'ai ma carte de débit. Pour des raisons de sécurité, je crois comprendre, d'après votre témoignage, madame O'Brien, que celle-ci est beaucoup plus sécuritaire que celle-là.

Mme Terri O'Brien:

C'est exact. Je souscris à cette affirmation.

Le président:

Pourquoi? Est-ce parce que vous avez 300 organisations pour celle-ci et que vous êtes en circuit fermé? Il y a des milliers d'organisations de plus pour celle-là.

Essentiellement...

M. David de Burgh Graham:

John, faites attention de ne pas montrer les chiffres; la séance est télévisée.

Le président:

Celle-ci a déjà été piratée. Celle-là ne peut pas être piratée.

M. Michel Picard:

Il n'a pas d'argent de toute façon.

Le président:

En effet, c'est exact.

Qu'y a-t-il dans la structure qui rend l'une plus sûre que l'autre?

Mme Terri O'Brien:

Je pense qu'il y a de nombreux facteurs. Comme je l'ai mentionné plus tôt, Interac possède une structure de gouvernance et de réglementation opérationnelle très solide et hiérarchisée. Il ne s'agit pas seulement de la sécurité d'un réseau en circuit fermé. Il s'agit du niveau de sécurité des participants, des émetteurs et des acquéreurs, comme le niveau de sécurité du clavier NIP, ainsi que de divers degrés de types d'opérations et de structures de limites, ce qui est différent de certains de nos partenaires dans le secteur des cartes de crédit au Canada, qui peuvent avoir un goût du risque plus grand.

Ils ont différents types de participants dans leurs marchés et différents types de méthodes de surveillance de la fraude, de sorte que je ne peux pas parler du degré de surveillance de la fraude ni de leur goût du risque. Je sais simplement qu'il est plus grand que le nôtre à certains égards, en ce qui concerne les limites de certains types de cartes. Comme vous le savez peut-être bien en tant que consommateur, de nombreuses cartes ont des limites beaucoup plus élevées. Ce sont là des cibles beaucoup plus attrayantes pour la cybercriminalité que les cartes de débit.

(1800)

Le président:

Donc, cela ne dépend pas de la façon dont le système est mis en place ou de la sécurité qui y est intégrée; cela dépend du niveau de risque que nous voulons prendre pour être en mesure de faire un grand nombre de transactions.

Mme Terri O'Brien:

Je pense que cela dépend des deux. C'est une approche multidimensionnelle. Cela repose sur la sécurité des participants, les règles de fonctionnement, la structure des limites, la surveillance des risques de fraude — c'est sans aucun doute un élément essentiel déterminant dans cet écosystème.

Le président:

Je vous remercie.

J'ai une autre question au sujet du partage qui se fait entre les diverses institutions. Toutes les institutions n'auront pas le même degré d'intérêt — ce n'est pas tout à fait exact. Elles ont toutes un intérêt, mais elles auront des programmes différents. Plus particulièrement, le gouvernement aura un programme, les responsables de la sécurité auront un autre programme, les institutions financières en auront un autre, et il en va de même pour toutes les parties concernées.

Êtes-vous convaincue que, compte tenu des divers programmes en cours et des données que vous fournissez, la sécurité s'en trouve renforcée au bout du compte?

Mme Terri O'Brien:

Je répondrais que oui, tout à fait. Elle est davantage améliorée grâce au nombre de partages de renseignements qu'il y a.

Bien sûr, nous participons, comme Justin et Martin l'ont dit, à de nombreux forums centraux, à la communication de renseignements dans certains comités, et l'ECMC a été un excellent ajout ces dernières années. Toutefois, la communication d'un événement en temps réel concernant un thème particulier ou un vecteur de menace qui se trouve sur le marché à un moment donné est vraiment essentielle pour détecter et prévenir la fraude. Cela profite ensuite à l'ensemble de l'écosystème. Chez Interac, nous communiquerons quotidiennement avec chaque institution financière, car ces facteurs de menace changent constamment. Cela s'est avéré très efficace.

Le président:

Je suppose que Paiements Canada répondrait la même chose. N'est-ce pas? D'accord.

J'ai une dernière question pour Paiements Canada. Je n'ai jamais vraiment compris pourquoi, lorsque je paie une facture en ligne, l'argent sort manifestement de mon compte bancaire, mais il n'est pas crédité au vendeur avant un, deux ou trois jours. Je ne comprends pas pourquoi il ne s'agit pas d'une transaction instantanée. Avez-vous une réponse à cela?

M. Justin Ferrabee:

Oui. En tant que couche d'infrastructure, nous n'interagissons pas avec les consommateurs au moment du paiement des factures; toutefois, une partie de notre programme de modernisation comprend la création d'une voie de paiement en temps réel, qui permettrait de faire exactement cela — éliminer le retard dans les dépôts, les retenues de chèques, les paiements de factures, etc. Donc, en croisant les doigts, vous verrez cela bientôt.

Le président:

D'accord. Eh bien, j'attendrai cela jour et nuit.

Des députés: Ha, ha!

Le président: Nous passons à M. Cannings, puis à M. Eglinski.

M. Richard Cannings:

Je vais simplement revenir sur ce que M. McKay demandait au sujet de la comparaison entre les cartes de crédit et le modèle Interac.

La semaine dernière, des représentants de MasterCard sont venus dans mon bureau me parler de leur système. Si je me souviens bien, MasterCard et Visa sont plutôt des intermédiaires entre les banques, les fournisseurs et les particuliers, alors qu'Interac dispose d'une sorte d'accès direct à votre compte bancaire. Je me demande simplement si cet accès direct au compte bancaire rend une transaction plus risquée, alors que les autres semblent avoir plus de couches où des mesures de sécurité pourraient être appliquées. C'est peut-être l'inverse. Je n'utilise pas beaucoup Interac, et ce n'est pas à cause de cela, mais je suis simplement curieux concernant cet accès direct aux comptes bancaires. Quel genre de questions de sécurité entrent en ligne de compte?

Mme Terri O'Brien:

Je pense en réalité que le fait d'avoir un réseau privé en circuit fermé réduit le risque. Pour plus de précision, la connexion directe s'appelle une API, ou une interface de programmation d'applications que nous avons avec l'institution financière, par laquelle toutes les transactions passent. L'institution expéditrice — votre banque, par exemple — vérifierait que les fonds sont disponibles et les enverrait ensuite en temps réel à l'institution destinataire par l'intermédiaire de notre infrastructure de paiement, et nous serions en mesure de faciliter ces transferts. Je crois que le lien direct réduit les risques. Nous pouvons surveiller et gérer le système de façon appropriée.

(1805)

M. Richard Cannings:

M. McKay a également mentionné les paiements de factures, par exemple. Est-ce la même chose? Lorsque je paie une facture, je ne pense pas qu'Interac intervient, mais quand je le fais à ma banque, est-ce le même processus?

Mme Terri O'Brien:

Interac effectue certaines de ces transactions, et nous examinons cela. Certainement, il est facile de comprendre les virements électroniques. Si vous payez un fournisseur de services, par exemple, un plombier pour une réparation chez vous, vous pouvez choisir d'utiliser le service Virement Interac, et ce sont des paiements en temps réel aujourd'hui.

L'interface de paiement de factures que vous pourriez utiliser, disons avec Rogers, pour payer votre facture de câblodistribution, par exemple... À l'heure actuelle, ces paiements sont retenus à l'institution financière et ensuite versés par lots. Nous travaillons activement avec les institutions financières afin que l'on puisse faire ces paiements en temps réel parce que nous sommes déjà en mesure de le faire, mais, aujourd'hui, ces paiements sont versés par lots par chaque institution financière canadienne. C'est ainsi que l'on a toujours procédé.

Le président:

Merci, monsieur Cannings.

Nous avons maintenant M. Eglinski.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

La question porte sur Interac. Plus tôt, vous avez indiqué que vous gardiez tout sur des serveurs canadiens, mais vous offrez un service international aux titulaires de cartes étrangers, n'est-ce pas?

Mme Terri O'Brien:

Notre produit débit Interac permet d'effectuer des transferts internationaux de fonds. Je pense que quelqu'un en a donné un exemple. Si on se trouve aux États-Unis et qu'on veut retirer de l'argent avec la carte Interac de sa banque, on pourrait utiliser le guichet automatique d'une autre banque. Nous offrons la possibilité de retirer des fonds lorsqu'on est dans un autre pays.

M. Jim Eglinski:

Un étranger ne peut pas utiliser votre système. Entretenez-vous une relation avec des banques étrangères dans un tel cas?

Mme Terri O'Brien:

Non, nous n'avons pas de relations avec des banques étrangères.

Si vous, à titre de consommateur canadien détenteur d'un compte bancaire canadien, choisissez de retirer des fonds au Texas, par exemple, vous pouvez le faire grâce à votre carte de débit Interac. Mais non, nous n'entretenons pas de relations avec des banques étrangères.

M. Jim Eglinski:

Je pensais à la sécurité.

Je vais laisser la parole à mon collègue, qui a une question pour vous.

Mme Terri O'Brien:

Certainement. [Français]

M. Pierre Paul-Hus:

Merci, monsieur Eglinski.

J'ai été absent quelques minutes. Je ne sais pas si la question a déjà été posée, mais je ne crois pas.

Combien d'attaques directes sur les systèmes subissez-vous, par jour ou par mois?

Par ailleurs, êtes-vous en mesure de nous dire d'où viennent les attaques? Sont-elles l'oeuvre d'individus, de gens au Canada ou à l'étranger? Des attaques sont-elles commises par des pays en particulier?

Les deux témoins peuvent répondre. [Traduction]

M. Martin Kyle:

Comme vous pouvez le comprendre, nous ne décrivons pas en détail nos capacités précises en matière de sécurité ou les incidents ou les événements liés à la sécurité. Je dirai simplement que l'industrie financière fait l'objet d'attaques en tout temps et de partout. [Français]

M. Pierre Paul-Hus:

Sans donner le détail de vos organisations, pouvez-vous dire de quels genres d'attaques il s'agit? Proviennent-elles plus d'individus isolés ou d'organisations? Pouvons-nous avoir ce type d'information? [Traduction]

Mme Terri O'Brien:

Il pourrait être important pour le Comité de faire la différence entre les tentatives d'attaque et les attaques elles-mêmes.

Je dirais que toutes les institutions financières, tous les fournisseurs d'écosystème de paiement et tous les fournisseurs de services de règlement vont subir des tentatives d'attaque. À Interac, nous gérons la détection et la réponse, alors lorsqu'on tente d'infiltrer notre système, nous pouvons le voir. Nous surveillons activement ces tentatives et nous les bloquons afin qu'elles ne se concrétisent pas.

Selon moi, relativement peu d'attaques sont lancées. Ce que je sais, par l'entremise de nos partenaires et de forums où on les signale, c'est que, au cours des dernières années, il s'est agi d'attaques sophistiquées. À mon avis, il y a très peu d'attaques isolées comme celles vous avez décrites. Ce sont plutôt des tentatives d'attaques sophistiquées. [Français]

M. Pierre Paul-Hus:

Avez-vous une obligation de divulgation auprès des banques? Vous êtes un intermédiaire entre les différentes banques. Lorsqu'il y a des menaces qui sont plus importantes, avez-vous un délai, un nombre d'heures où vous devez informer les banques et le gouvernement?

En ce qui concerne le gouvernement, je crois qu'il n'y a pas d'obligation de divulgation, mais, pour vos partenaires d'affaires, y a-t-il une obligation de divulgation?

(1810)

[Traduction]

Mme Terri O'Brien:

Nous n'avons pas d'obligation de divulgation auprès des diverses institutions financières. Ce n'est pas une exigence législative, mais nous avons des voies sécurisées par lesquelles nous pouvons communiquer une partie de cette information afin d'améliorer la sécurité et la solidité de l'écosystème. Nous allons communiquer l'information à l'institution financière concernée de façon très spécifique. [Français]

M. Pierre Paul-Hus:

Vous avez clairement parlé d'opérations sophistiquées, donc qui demandent des moyens énormes. Pouvez-vous nous donner une idée d'où viennent les menaces? [Traduction]

Mme Terri O'Brien:

Je pense que la nouvelle unité de cybersécurité de la GRC est probablement mieux placée pour dire d'où viennent les tentatives d'attaque dans le monde. Divers pays subissent certainement des tentatives d'attaque et des attaques, mais celles-ci changent d'endroit. C'est un problème mondial d'attaques sophistiquées. [Français]

Le président:

Merci, monsieur Paul-Hus.[Traduction]

Vous avez cinq minutes, monsieur Spengemann.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci beaucoup, monsieur le président.

Merci d'être avec nous.

J'aimerais donner suite aux questions de mon collègue M. Paul-Hus. Je siège également au Comité permanent de la défense nationale. Les infrastructures essentielles sont un des secteurs où il y a un certain chevauchement.

Sans entrer dans les détails, comme vous l'avez souligné, ou sans nous donner des renseignements qui ne devraient pas être divulgués, dans quelle mesure êtes-vous préoccupé, de façon générale, par une attaque de la part d'un autre pays, et à quel point considérez-vous faire partie de notre infrastructure de base? Je vais poser deux autres questions. Que se passera-t-il si votre service tombe en panne pendant une période prolongée en raison d'une attaque? Quelles seraient les répercussions pour le pays?

M. Martin Kyle:

Tout d'abord, comme vous l'avez entendu, nous sommes en sécurité. La sécurité est notre principale priorité. Nous appuyons nos membres, les institutions financières au Canada, dans leurs programmes de sécurité, et ils nous appuient dans les nôtres. Les attaques et les menaces viennent de tous les côtés. Nous devons demeurer vigilants en tout temps, et nos membres doivent faire la même chose. Chaque citoyen canadien doit être responsable de sa propre sécurité. Nous croyons également que, ensemble, nous pouvons améliorer et renforcer la sécurité du pays tout entier.

M. Sven Spengemann:

Travaillez-vous d'une quelconque façon avec des analystes ou du personnel du ministère de la Défense nationale pour vous protéger? Y a-t-il une collaboration sur des questions comme l'IA, la quantique et des choses qui toucheraient d'autres parties de nos infrastructures essentielles si on nous attaquait?

M. Martin Kyle:

Absolument.

M. Sven Spengemann:

Pouvez-vous nous en parler un peu plus en détail?

M. Martin Kyle:

Non.

M. Sven Spengemann:

D'accord.

Le financement est-il suffisant, selon votre évaluation, pour faire ce genre de travail? Y a-t-il d'autres aspects dans lesquels nous devrions investir davantage, que ce soit le talent, le travail structurel ou une façon différente de voir les choses, à mesure que nous passons à l'IA et à ces types d'enjeux?

M. Justin Ferrabee:

Nous avons pleine confiance dans ce que nous avons à l'heure actuelle. Il y a toujours des possibilités et un besoin de continuer à réaliser des investissements et à améliorer les systèmes. Nous sommes certains d'avoir bien réagi, tout comme nos partenaires au gouvernement et ailleurs. Des besoins émergent également à mesure que nous progressons, comme vous l'avez entendu. C'est toujours de plus en plus exigeant, alors il faut poursuivre les investissements et possiblement les augmenter.

M. Sven Spengemann:

Le degré de centralisation du système d'autorisation que nous avons au Canada est-il typique de celui d'autres démocraties développées — le G7 et le Groupe des cinq — ou serait-il justifié de décentraliser le système d'autorisation afin que toute attaque cause moins de dommages si elle réussit?

M. Justin Ferrabee:

Notre système d'autorisation central est très similaire à celui d'autres pays du G7 et d'autres infrastructures financières de pointe. Nous cherchons toujours des possibilités de poursuivre le renforcement de la sécurité. Nous nous sentons en confiance relativement à la position dans laquelle nous nous trouvons actuellement et nous continuerons toujours d'être à l'affût. Nous avons effectué beaucoup de recherches, qui ont été publiées, sur les registres distribués et leur application. Le secteur moins vulnérable et le degré élevé de confiance entre les parties sont des facteurs qui diminuent le besoin d'avoir une sorte de registre distribué ou une nouvelle technologie à cet égard, mais nous examinons toujours la situation et investissons dans l'innovation.

(1815)

M. Sven Spengemann:

C'est très utile. Merci beaucoup.

Ma dernière question porte strictement sur un intérêt personnel.

Quel pourcentage des transactions de consommateurs au Canada, selon vous, sont effectuées de manière non électronique, c'est-à-dire avec de l'argent comptant? Quels types de tendances observez-vous? Avez-vous ces données?

M. Justin Ferrabee:

Chaque année, nous publions un rapport intitulé « Les modes de paiement et les tendances des paiements au Canada », qui porte sur ce sujet. L'utilisation de l'argent comptant diminue. Nous pensons que l'argent comptant continuera à connaître un déclin, mais il ne disparaîtra jamais. C'est moins de 50 % maintenant, et il diminue à un taux d'environ 5 à 7 % par année.

M. Sven Spengemann:

Merci beaucoup, monsieur le président.

Le président:

Eh bien, je dois alors faire partie de la minorité en déclin.

C'est au tour de M. Picard et de M. Graham.

M. Michel Picard:

Puis-je retirer de l'argent d'un guichet automatique à Londres ou à Paris?

Mme Terri O'Brien:

Je crois que, en Europe, il y a certaines restrictions, mais, oui, vous pourriez certainement retirer de l'argent de certains guichets automatiques à Paris.

M. Michel Picard:

Puis-je retirer de l'argent à Saint-Pétersbourg ou à Moscou?

Mme Terri O'Brien:

Non, cela violerait les règles associées aux sanctions.

M. Michel Picard:

Je ne peux pas du tout utiliser ma carte Interac en Russie.

Mme Terri O'Brien:

Non. Nous respectons absolument toutes les règles associées aux sanctions du Canada.

M. Michel Picard:

D'accord. J'ai terminé.

Le président:

C'était rapide.

Monsieur Graham.

M. David de Burgh Graham:

Je vais donner suite à une question qu'a posée plus tôt Mme Dabrusin sur la possible désuétude du chèque papier tel que nous le connaissons.

Est-il temps de laisser tomber les numéros de banque, les adresses et les signatures sur nos chèques et de passer à...? Je ne sais pas si nous pouvons avoir une version papier d'un jeton, mais existe-t-il une façon de faire cela?

Mme Terri O'Brien:

Oui. Absolument.

Nous innovons tous les jours dans le domaine des nouvelles technologies de transmission de paiements. Je dirais que ce sont surtout les petites entreprises ainsi que les acheteurs au détail qui utilisent encore le chèque, mais dans une moindre mesure. On n'a plus vraiment besoin du chèque papier.

M. Justin Ferrabee:

Nous constatons un déclin rapide chez les consommateurs. Des gens s'en servent encore, et, dans certaines circonstances, c'est la seule méthode de paiement qui va fonctionner, pour toutes sortes de raisons. Le plus grand besoin, c'est dans le secteur des petites entreprises, et on s'en sert habituellement pour gérer l'information parce que, à l'heure actuelle, elle ne circule pas de manière fluide dans l'ensemble du système pour ce qui est de toutes les notations; les petites entreprises reçoivent une copie du chèque et peuvent le voir.

Tant qu'on n'aura pas réglé ce problème, les chèques continueront d'être utilisés. Nous prenons un certain nombre de mesures en publiant des normes afin d'améliorer l'information qui voyage avec les paiements. Une des normes mondiales les plus récentes pour l'information est la norme ISO 20022, qui inclut d'énormes quantités d'information voyageant avec le paiement, ce qui permettrait à un propriétaire d'une petite entreprise de recevoir plus de renseignements, y compris une facture et toutes sortes d'informations qui l'accompagnent.

Nous pensons que, avec l'introduction d'un meilleur système d'information avec le paiement, le chèque connaîtra un déclin.

M. David de Burgh Graham:

Le chèque continuera d'exister. Allez-vous retirer l'information du chèque papier?

M. Justin Ferrabee:

Non. Nous allons la remplacer.

M. David de Burgh Graham:

Vous allez complètement la remplacer. D'accord.[Français]

Monsieur Picard, avez-vous autre chose à ajouter? [Traduction]

M. Michel Picard:

Je vais revenir à la Russie.

M. David de Burgh Graham:

Les Russes s'en viennent.

M. Michel Picard:

Une partie de la transaction, j'imagine... il peut s'avérer un peu compliqué de connaître chaque membre de votre groupe, mais si je retire de l'argent en Europe, les banques qui s'y trouvent font en quelque sorte partie de votre réseau. Je ne sais pas comment il fonctionne. Savez-vous, ou est-il possible de savoir, si les banques à l'extérieur de la Russie, en Europe et ailleurs, qui appartiennent à des intérêts russes, font partie de votre réseau?

Mme Terri O'Brien:

Elles ne font certainement pas partie de notre réseau. Je dirais que l'écosystème financier au Canada est maintenant très mature et très solide pour ce qui est d'appliquer les sanctions et comprendre les agences de transfert et ces types de choses. Nous sécurisons assurément le réseau.

Nous effectuons très peu de transactions à l'extérieur du Canada, alors ce n'est pas un problème auquel nous nous heurtons ou que nous constatons.

M. Michel Picard:

Maintenant j'ai terminé.

Le président:

D'accord.

Monsieur Eglinski, voulez-vous poser d'autres questions?

M. Jim Eglinski:

Je ne pense pas.

Le président:

Monsieur Paul-Hus. [Français]

M. Pierre Paul-Hus:

Merci.

Nous avons rencontré des représentants de Mastercard. Chez Mastercard, il y a des red teams, qu'on appelle en français des « pirates éthiques ». Je sais qu'il y a des discussions sur le terme, et je ne sais pas comment vous le traduisez. Ce sont des gens qui travaillent à l'interne et qui vont vraiment essayer de briser, de déjouer le système pour voir s'il comporte des failles. Est-ce que vous avez des équipes semblables chez vous?

(1820)

[Traduction]

Mme Terri O'Brien:

Nous en avons. Nous avons une équipe solide chargée de la sécurité des TI, qui utilise un certain nombre d'outils pour nous permettre de balayer le système de façon proactive à la recherche de vulnérabilités et de gérer la capacité de détection et de réponse également. Nous balayons activement nos systèmes quotidiennement et nous nous tenons à jour. [Français]

M. Pierre Paul-Hus:

Vous avez des équipes internes en technologies de l'information. Vous faites des balayages de vérification, mais vous n'engagez pas véritablement de pirates informatiques, qui vont essayer de trouver les failles de votre système. [Traduction]

Mme Terri O'Brien:

Nous avons une très grosse équipe chargée de la sécurité des TI. Nous ne l'appelons pas une équipe de « pirates éthiques ». Nous l'appelons une équipe de « sécurité des TI ». C'est une grosse équipe qui effectue constamment de la vérification — nous appelons cela des tests de pénétration — et qui balaie le système. J'estime que c'est essentiellement la même chose. « Pirate éthique » et « agent de cybersécurité » sont des mots à la mode ces derniers temps. [Français]

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

M. Justin Ferrabee:

Je peux répondre pour Paiements Canada. Comme vous pouvez le constater, nous ne divulguons pas de détails par rapport aux techniques que nous utilisons, mais nous connaissons très bien ces techniques, en plus des autres, et nous utilisons celles qui sont les plus appropriées pour garantir la sécurité et la protection du système. [Français]

M. Pierre Paul-Hus:

Pour terminer, notre étude vise à voir le système bancaire et financier dans sa globalité sur le plan de la cybersécurité. Selon vous, en tant que partenaires du système bancaire, où serait la principale brèche de la cybersécurité? [Traduction]

Mme Terri O'Brien:

Nous constatons deux vulnérabilités, dont j'ai parlé plus tôt dans ma déclaration préliminaire. La première concerne l'incapacité du gouvernement, de la GRC et des forces de l'ordre d'échanger librement des renseignements. L'activité criminelle évolue rapidement. Il s'agit d'un environnement frauduleux en temps réel, la capacité à avoir accès à ces renseignements plus rapidement nous permettrait donc d'avoir des moyens de défense plus robustes que ceux que nous avons présentement.

La deuxième concerne l'éducation du public, comme vous le savez tous. L'éducation du public par rapport à ce qui devrait être fait et ce qui ne devrait pas être fait contribuerait grandement à sécuriser le système et l'écosystème. [Français]

M. Pierre Paul-Hus:

Oui, nous le savons. [Traduction]

M. Justin Ferrabee:

C'est un écosystème auquel bon nombre d'intervenants participent, et dans lequel le degré de capacité et le risque varient. Nous savons que nous sommes plus forts lorsque nous travaillons ensemble, et la réponse au repérage des vulnérabilités est de travailler ensemble pour les cerner et de faire chacun sa part pour les résoudre et les gérer. Voilà ce à quoi nous consacrons notre temps et nos efforts, et nous croyons que nos homologues font de même. Nous soutenons nos membres et tous ceux qui travaillent dans les institutions financières à cet égard, et nous sommes convaincus qu'il s'agit de la meilleure stratégie. [Français]

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

Le président:

M. Spengemann et M. Graham vont partager cinq minutes.

M. Sven Spengemann:

Merci, monsieur le président.

Encore une fois, je comprends parfaitement que vous devez maintenir une certaine confidentialité, mais, aux yeux de ce comité ou de la population canadienne, nous avons parfois l'impression qu'il y a une différence qualitative entre une attaque commise ou organisée par un État et ce qui vient du secteur privé ou du monde clandestin. Y a-t-il une différence qualitative notable entre ces attaques? Est-ce qu'un État-nation a une plus grande capacité à nous causer du tort, ou est-ce injustifié, dans la mesure où, si nous luttons efficacement contre les attaques qui proviennent du « secteur privé », nous sommes bien équipés pour faire face à une attaque dirigée par un État ou à une série d'attaques coordonnées?

M. Martin Kyle:

Certainement, les États-nations ont plus de ressources que la plupart des organisations criminelles, mais malheureusement, nous avons vu que quelques exploits qui ont été divulgués par des États-nations ont abouti entre les mains de criminels, ce qui crée un environnement de menace qui est en constante évolution. Bien que nous surveillons ces choses et que nous nous concentrons sur la sécurité du système national de paiement, nous reconnaissons qu'il faut continuer d'investir et de déployer des efforts pour remédier à toutes ces menaces.

M. Sven Spengemann:

Les deux fronts s'équivalent, et si vous procédez de la bonne façon, vous pouvez les éviter, peu importe leur origine.

M. Martin Kyle:

C'est exact.

M. Sven Spengemann:

D'accord, voilà qui est utile. Merci.

Le président:

Monsieur Graham.

M. David de Burgh Graham:

Pour poursuivre un peu sur cette voie, l'intention d'un acteur étatique dans le système financier ne serait pas de prendre l'argent. Ce n'est pas son objectif. Il veut voir qui effectue des transactions avec qui, obtenir les métadonnées, comme nous aimons le dire, et être en position de miner le système s'il doit appuyer sur le bouton.

Est-ce que cela serait une évaluation exacte des acteurs étatiques au sein du système?

M. Martin Kyle:

Il y a un certain nombre de choses qui motivent les différents acteurs étatiques. Nous avons vu par le passé que certains d'entre eux utilisent des systèmes financiers pour contourner les sanctions. D'autres ont des motivations différentes. Il y a une multitude de raisons possibles pour toute menace contre le système financier, et nous devons être au courant de toutes ces raisons et prendre des contre-mesures proactives contre ces menaces.

(1825)

M. David de Burgh Graham:

Si un pays étranger souhaitait miner notre structure financière, son intention ne serait pas de prendre des données, ce serait de paralyser le système. J'imagine que nous faisons tout notre possible pour empêcher que cela arrive également.

M. Justin Ferrabee:

Nous ne pourrions pas donner de précision sur tout incident dont nous sommes au courant. Nous vous assurons que nous y réfléchissons et que nous prenons des mesures pour prévenir cela, et que nos collègues dans d'autres organisations autour de nous le font aussi. Il ne s'agit pas de quelque chose qui nous est inconnu ou dont nous ne sommes pas conscients. Nous nous concentrons clairement là-dessus.

Mme Terri O'Brien:

Oui, et nos programmes respectifs en matière de résilience... Je ne peux parler qu'au nom d'Interac, mais nous avons un temps de fonctionnement de 99,9 %. Vous pouvez l'atteindre seulement si vous avez une stratégie en matière de résilience qui inclut une infrastructure très robuste pour réaliser cela, même en cas de détérioration du service ou de toute attaque qui pourrait tenter de perturber le service.

M. David de Burgh Graham:

Dans un autre ordre d'idées, en ce qui a trait à la technologie EMV, que signifie EMV? Je ne me rappelle plus ce que signifie le « E », mais « M » signifie Mastercard et « V », Visa. Est-ce exact?

Mme Terri O'Brien:

Vous savez, l'acronyme existe depuis une dizaine d'années environ, donc...

Le président:

C'est un magasin de musique.

M. David de Burgh Graham:

HMV, c'est autre chose.

Y a-t-il une différence qualitative entre les systèmes relatifs aux cartes de crédit et aux cartes de débit concernant tout ce dont nous venons de parler? Quelles sont les différences entre les deux réseaux et les deux systèmes? Non pas que votre position est biaisée, mais est-ce que l'un d'entre eux a un avantage par rapport à l'autre?

Mme Terri O'Brien:

J'ai parlé de cela un peu plus tôt. Je ne peux parler que de notre réseau en circuit fermé, mais nous avons réellement une stratégie de sécurité multidimensionnelle relative à la surveillance des fraudes et une stratégie robuste en matière de sécurité et de risque. Il s'agit d'une multitude de normes de sécurité et de mesures de contrôle qui font partie de notre réseau.

Les réseaux Mastercard et Visa sont en grande partie établis à l'extérieur des États-Unis, et fonctionnent à l'échelle internationale; ils doivent donc répondre à un ensemble de normes différentes, respecter des structures de sécurité composées différemment et composer avec un goût du risque différent. Je ne peux pas vraiment parler de leurs réseaux. Je ne peux parler que de la protection et de la stabilité que le nôtre offre aux Canadiens.

Le président:

Merci, monsieur Graham.

Juste avant que l'on termine, Wayne Gretzky a prononcé une phrase célèbre: on ne parle pas de l'endroit où se trouve la rondelle, on parle de l'endroit où elle se dirige. Quelques-uns des grands projets de votre industrie sont Apple, Amazon et bien d'autres. Est-ce que l'un d'entre vous laisserait entrer Apple dans ses systèmes?

Mme Terri O'Brien:

Je peux vous dire, du point de vue d'Interac, que nous avons été les premiers à faire affaire avec Apple en insérant la carte de débit Interac dans l'application Apple Wallet. Il s'agissait de la technologie de fournisseur de services de jetons dont nous avons parlé plus tôt. Nous avons également la même carte de débit Interac dans Google Wallet, et également dans Samsung Wallet. Les Canadiens veulent pouvoir utiliser leur téléphone de la même façon qu'ils utilisent leur carte. Nous avons constaté que l'abstraction et la transformation en jetons sont extrêmement sécuritaires et constituent un très bon protocole de sécurité. En tirant profit de la technologie EMV, on a créé un produit très sécuritaire qui a fait l'objet de peu de fraudes.

Le président:

Les consommateurs canadiens qui utilisent l'une de ces méthodes sont donc autant en sécurité que s'ils utilisaient directement un produit bancaire canadien.

Mme Terri O'Brien:

C'est semblable à l'utilisation directe de votre carte de débit Interac.

Le président:

D'accord.

Paiements Canada, c'est à vous.

M. Justin Ferrabee:

Nous n'interagissons pas au point de vente et n'aurions aucune raison de faire affaire avec Apple en tant que fournisseur de services de paiement. Nos employés l'utiliseraient probablement, mais ce n'est pas quelque chose qui se trouve dans nos systèmes. Il ne s'agit pas d'un point d'interaction pour nous.

Le président:

D'accord.

Merci de votre présence, et encore une fois, je tiens à vous remercier de votre patience. Nous l'avons mise à l'épreuve, mais les choses sont ce qu'elles sont. Merci de vos témoignages intéressants et utiles.

Mme Terri O'Brien:

Je vous remercie de nous avoir reçus.

Le président:

Sur ce, la séance est levée.

Hansard Hansard

Posted at 15:44 on April 08, 2019

This entry has been archived. Comments can no longer be posted.

2019-04-04 RNNR 132 | committee hansard secu | 2019-04-09 PROC 148

(RSS) Website generating code and content © 2001-2020 David Graham <david@davidgraham.ca>, unless otherwise noted. All rights reserved. Comments are © their respective authors.