header image
The world according to David Graham

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. PMO Staff Run Government; Ministers Represent It
  2. On A Mostly Harmless Birthday
  3. The Trouble With Political Communications
  4. Politics: War By Other Means
  5. On the function of Social media
  6. C-18 is an existential threat, not a benefit, to democracy
  7. On Missing A Little More Than A Sub
  8. The Realpolitik Of Open Nomination
  9. What Is An Open Nomination, Really?
  10. Alberta election about identity, not policy
  11. The Trouble With Electoral Reform
  12. Mr. Bains Goes to Rogers
  13. Question Period
  14. Why do lockdowns and pandemic restrictions continue to exist?
  15. Parliamentary privilege: an arcane concept that can prevent coups
  16. It's not over yet
  17. Trump will win in 2020 (and keep an eye on 2024)
  18. A podcast with Michael Geist on technology and politics
  19. Next steps
  20. On what electoral reform reforms
  21. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  22. 2019 Summer newsletter / infolettre été 2019
  23. 2019-07-15 SECU 171
  24. 2019-06-20 RNNR 140
  25. 2019-06-17 14:14 House intervention / intervention en chambre
  26. 2019-06-17 SECU 169
  27. 2019-06-13 PROC 162
  28. 2019-06-10 SECU 167
  29. 2019-06-06 PROC 160
  30. 2019-06-06 INDU 167
  31. older entries...

2019-05-15 SECU 163

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Colleagues, I see quorum. This is the 163rd meeting of this august committee, the best committee on the Hill.

I'm pleased to welcome our guests today, all of whom have never made presentations to parliamentary committees before. I've asked my colleagues to go easy on you.

As you know, you each have 10 minutes. I'm going to ask Mr. Jarry to go first. At the end of his 10 minutes, I'll ask Mr. Gull to introduce his group and proceed with their 10 minutes.

Mr. Jarry. [Translation]

Mr. Luc Jarry (Senior Advisor Cybersecurity, As an Individual):

Thank you, Mr. Chair.

Good afternoon to all committee members.

My name is Luc Jarry and I'm a senior cybersecurity advisor for Cascades Inc. I'm also a lecturer and I teach industrial cybersecurity at the Polytechnique Montréal, which is affiliated with the University of Montreal.

This is my first time appearing as a witness. I spent some time reading the evidence from other witnesses and I noted that several topics were discussed. Today, I'll talk about a subject that affects virtually every domain, from financial affairs to the industrial, business and personal worlds. I'm talking about the Internet of Things, better known as IoT, which is of course associated with artificial intelligence.

What is IoT? I think the best definition is also the shortest: IoT is a direct integration between the physical world and computer systems. In the past few years, there has been an extraordinary revolution in the way objects connect to TCP-IP networks. I'm talking about the Internet. It has been estimated that by 2020, between 40 billion and 50 billion devices will be connected to the Internet. We will have to ask ourselves wether the "Internet of Things" will become the "Internet of All."

Together with artificial intelligence, the Internet of Things makes possible what was only imaginable a few years ago. Think for example of self-driving cars. They are still in the testing stage. We have all heard about them. Currently, if your car is even halfway modern, it will probably have a monitoring system that measures the pressure in your tires. If a tire's pressure is low, the monitoring system will send a message to the car's computer to warn the driver that one of the tires is low on air. The driver will then have to deal with the problem.

The same thing will happen with the Internet of Things, but in addition to informing the driver, the car itself will make an appointment at the dealership or the garage responsible for maintenance. The car will then drive itself to the dealership so the problem can be fixed, and it will then return to its point of origin. You can start seeing the potential involved. This will open up extraordinary opportunities in all areas.

Unfortunately, all these new technologies make us susceptible to new threats and vulnerabilities. However, computers, which have microprocessors and are controlled by operating systems, are virtually the only devices connected to the Internet. This makes it possible for us to implement basic cybersecurity defences. For example, I can see there are open laptops in this room. I'm sure that those computers have basic cybersecurity protections. This would involve a personal firewall turned on and probably an antivirus program—which I hope has the latest virus updates—as well as a malware scanner. There is something important to note here. These computers have a processor and are able to encrypt and decrypt data. I'm talking about encryption, a widely used strategy in cybersecurity.

The problem with the Internet of Things is that the objects have no operating system or processors. It is therefore impossible to give them basic protections, as we can do with computers. These makes them extremely vulnerable.

Over the last 15 or 20 years industries have invested heavily in mechanization and automation technologies. Today, modern factories use industrial control systems such as programmable automatons and SCADA, which communicate with each other via their own telecommunications protocols on private networks within factories. These networks are invisible to the Internet. We often refer to them as an intranet. For industries to ensure they can use and benefit from the advantages of artificial intelligence, they must connect these automatons or industrial control devices to the Internet in order to communicate with AI service providers. This makes these devices very vulnerable.

Another thing is that, based on my own observations, most industrial controls in factories are maintained and supported by electrical engineers, most of whom have no training in cybersecurity.

There are currently many factories connecting things to the Internet in a way that creates gaps in their internal networks, opening them up to possible intrusions. I'm talking about theft of information and industrial espionage, in short, unauthorized access.

There are now things worse than that. With the Internet of Things, we can imagine a hacker or even a terrorist group taking remote control of critical infrastructure such as a hydroelectric dam, a water processing or oil industry plant, a hospital and so on. Imagine all the ensuing damage and danger to public and financial security and safety.

We must also keep the privacy issue in mind. As you know, an increasing number of users are connecting devices to their own networks at home or via cellular networks. You can for example buy a smart refrigerator equipped with a tablet-like screen that takes inventory of all the food and drinks it contains, monitors their expiry dates and even suggests recipes for the food inside, thanks to artificial intelligence. It's a wonderful thing. However, from a privacy perspective, we might ask whether life insurance companies would be interested in knowing what is in their customers' fridges. The answer is yes.

In Canada, citizens are protected by privacy laws, but there is a problem. Many studies have shown that nearly 95% of users agree to terms and conditions of confidentiality without reading them. Often, people don't really know what they are agreeing to.

Still on the subject of privacy, there are now assistants that connect to the Internet and are activated by a specific sentence or word spoken by a user. You can dialogue with the assistant to obtain various kinds of information available online, such as weather forecasts or the news. If these types of devices are connected to an unsecured home network with easy access, a hacker could use a computer worm to record you. If the device has a camera, the hacker could take pictures of you. This would obviously be a breach of privacy.

I could give you several examples. The document I submitted contains a series of recommendations, but unfortunately I won't have the time to go over them all.

With your permission, Mr. Chair, I will now answer questions.

Thank you.

(1535)

The Chair:

Thank you, Mr. Jarry.[English]

I'm probably going to have to get one of those fridges, because that fridge can make a meal of what's in my fridge. That will be a truly miraculous event.

Mr. Michel Picard (Montarville, Lib.):

They don't make the meal for you.

The Chair:

Bologna sandwiches are still bologna sandwiches, no matter who makes them.

Mr. Gull, for 10 minutes, and I'll ask you to introduce your colleagues.

Mr. Tony Gull (President, Tawich Development Corporation):

Thank you.

[Witness spoke in Cree]

[English]

In my language, I thank you for hearing us out and giving us an opportunity to share with you a little in terms of opportunities we're looking at for our nation—the Cree nation—and our community, more specifically, Wemindji.

On my left are my advisers who are working on this file with us, our corporation. This is Sam Gull, an adviser; this is Jean Schiettekatte, another one of our advisers; and this is Robert Milo. They are three advisers and somewhat experts too in this field in terms of what we're trying to accomplish.

I guess the message here today from us, as you can see, is that it's a northern international fibre telecommunication highway to link Canada, Asia and Europe. It's key to assuring Canadian financial Internet cybersecurity.

For us, in terms of the corporation itself, it's wholly owned by the community of Wemindji, which is about 1,400 people. Right now the corporation, just to give you an idea, is called Tawich. Tawich means “far out”. It's a far out development corporation—that's the translation.

Just to give you perspective, right now Tawich employs over 1,000 people across Quebec, in the region of Abitibi and in certain other areas within the province. We have various companies. This is just another exciting opportunity we're looking into to basically reach the goal of convincing certain people to get into this project together.

As you know, it's basically keskun, which means clouds. When you're talking about cyber, Internet and talking about clouds, it's keskun, as it is pronounced in our dialect. Basically, it's the data centre project that we will be building on the Cree territory of our community. Keskun is essentially an industrial storage park and major Nordic data centres that we're looking at.

The project will initially require a power supply of about 200 megawatts. The most reliable green energy source in North America, as we all know, is the big Robert-Bourassa power station that is just a couple of hours' drive away from home. The Quebec energy board authorized the allocation of a certain amount of megawatts to calculation centres on April 29, 2019.

Right now we feel that Canada is basically limited to the U.S. for its international Internet connectivity. About 11% of Canadian international Internet traffic doesn't pass through the U.S.

We talk a lot in terms of what this gentleman just spoke about. The way I look at it is that it's a superhighway that we're trying to connect to and bring into our area. Canadian cybersecurity, including financial transactions, is dependent on the U.S.A. This is part of what we feel is kind of a weak link.

With that being said, I'll let my advisers and colleagues touch more on the project.

(1540)

Mr. Sam Gull (Advisor, Tawich Development Corporation):

Meegwetch.

[Witness spoke in Cree]

[English]

I want to thank you for inviting me to make this presentation.

As you see on the screen here, the biggest problem that we have here in Canada is that all of our links are in the United States. We only have 11%, which are on the Newfoundland side, to Greenland. That's our only escape route. The rest are all in the United States. This is a major issue for us.

As you see on the screen here, we have a project that we're looking at. It's called the Quintillion link. It is already serviced in Alaska—the first phase. The second phase will be service from Alaska to Japan, and the third phase will go from Alaska through the Hudson Strait to Europe. This is where we want to connect our pipeline to Wemindji because once that pipeline comes through we only have one opportunity to connect, and we don't want to miss that opportunity.

The northern link is a high-fibre.... It has six big fibre links that are connected, and two of them stay in international waters. Those are the two that we want to connect, and we believe that the security, safety and sovereignty of the Arctic are key for us as a first nation. This southern spur that's going to go to James Bay will also be linked to Montreal, Toronto and the southern network.

A Canadian northern international connectivity project must be developed to assure Canadian international connectivity and cybersecurity.

As you see on the map here, it would go through the Northwest Passage, from Alaska through the Hudson Strait. This is where we want to connect, through James Bay to the Wemindji-Tawich Development community, and from there we connect to the south, to Montreal and Toronto.

On this map you can see that 89% of Canadian data passes through the United States. The USA PATRIOT Act governs this data and governs Canadian data, and this is where we believe security is an issue. Canada's new northern fibre can change this paradigm. Data centres with access to northern international fibre connectivity and ultra-low latency connectivity, in the long haul, in milliseconds, are important. The geographic position related to financial hubs with London, New York, Tokyo, Shanghai, Montreal and Toronto is key. The inexhaustible renewable energy and ultra-reliable power in the north at a low cost, at an approximate price of 4 cents U.S. per kilowatt, is a strength on our part, and low operation costs for data centres with cooling would be a competitive advantage because the computers need a lot of cooling.

A northern link would assure the independence of international connectivity and security from the United States. As an example, one of the big advantages is that from Montreal to Tokyo, we're looking at 18 milliseconds of speed that we can gain just between those two cities. There's no real advantage into the United States. The big advantage is from Montreal and Toronto to England and Asia.

The other advantage is that Hydro-Québec has announced in their strategic plan that they would give an estimated 4 cents per kilowatt. This is a huge advantage for us in terms of power usage. Another advantage is that we're on the Canadian Shield, and there are no earthquakes. You probably know what happened in Japan and Alaska. Earthquakes are a big issue, so this could be a good location for data centres of the north.

I'll pass it to Jean Schiettekatte to make concluding remarks.

(1545)

Mr. Jean Fernand Schiettekatte (Advisor, Tawich Development Corporation):

Thanks, Sam.

Thanks, everybody, for receiving us today.[Translation]

As you saw in the presentation, because of the ultra-low latency, all Canadian financial transactions will go through this link. This is an opportunity for us to offer Canadians a security solution that is not just software, but also hardware. The idea is to build an independent and international northern fibre, whose main benefit would be to enable Canadians, with the First Nations, to assert their sovereignty over this territory. This is a very important aspect that we want to see in this project.

I think that today is the last day you're meeting on this subject. We would like the Committee to consider this option. There is the Quintillion link—which is still under development, although its first segment is already in service—but there could be another Canadian project that would link to the network. As Mr. Gull said, parts of this line would stay in international waters. This could provide an international cybersecurity solution and would ensure that Canadians would have access to other markets with ultra-low latency. This would give us an advantage in our international financial transactions, and, most importantly, would enable us to assert our sovereignty over the Northwest Passage.

It would be a good idea to combine this with the connectivity of northern communities, but that should not be our primary goal. The primary goal is to ensure our security. There are of course all sorts of other benefits, such as worker training and job creation in the North, which are good for the economy.

Thank you, Mr. Chair.

The Chair:

I thank you all.[English]

Mr. Graham, you have seven minutes, please.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you all for being here. We have two very different witnesses.

For the keskun project, I find this very interesting. As you know, we've spoken about it in the past.

Monsieur Gull, if the Quintillion fibre network is built, and we don't get onto it, how hard is it to get onto later?

Mr. Sam Gull:

I believe, as a Canadian, and as a Cree, that Canada has to do something, and build its own fibre. We know that the amount of information or data we use every year is increasing, and it will continue to increase. It's not ready to slow down.

If we can't connect to Quintillion, I believe Canada should step forward and build its own fibre.

Mr. David de Burgh Graham:

You mentioned in your opening that this is an issue of network sovereignty. We don't currently have any network sovereignty to speak of. Quintillion, which runs from Tokyo to London, as I understand it, would provide non-U.S. sovereignty, and that's the core objective of this.

When you're talking about the use of the data centres, you're talking about an 18-millisecond speed advantage, and how it will impact the financial sector. From an investment point of view, what does that mean for the financial sector? Will they be obligated to have their data centres further north?

Mr. Tony Gull:

I have just one comment before Jean responds to it a little more technically.

For me, it's about economic development—that's why I'm here. My mandate is economic development, and I believe the federal government's responsibility—and some of our responsibility—is economic development, as well. I think it will provide a lot of opportunities economically, but also, and more importantly.... Whether it's cybersecurity, or being sovereign with our own line, data is so important. It's crucial to have, and to keep.

For me, that's the impact—it's all about the economic development, because that's my mandate. This is what I do, and this is why I'm presenting here today.

Go ahead, Jean.

Mr. Jean Fernand Schiettekatte:

The basic answer is very interesting. It's about that table of latency. No bank in the world could afford not to have a centre, at that point. If you're trading currency, you always need the data from the market in London, the market in Tokyo and the market in New York. We'll be the point of the hub. The main commercial transactions—the ones you talked about, where someone has hacked, or something—will be on that line, and we will control that line. That's not the case now—our transactions go by New York. When you do a wire transfer, it goes by New York; by that system.

That's why it's a key point of our position around the cybersecurity issue. If you want to address it, you must address that hardware problem.

(1550)

Mr. David de Burgh Graham:

Who controls the line?

Mr. Jean Fernand Schiettekatte:

In the U.S., the NSA is looking at all your transactions.

Mr. David de Burgh Graham:

They are on this side of the border too, I suspect. That leads to another point. There is a national security dimension to the Quintillion line and the keskun line. What can be done to protect that line from being attacked by scientific submarines in the north?

Mr. Jean Fernand Schiettekatte:

I think the first step is to assert sovereignty. If you pass the line you'll be the first to occupy the territory there. If you wait for another company or another country to do it, you'll lose sovereignty. That's the idea, to monitor [Inaudible—Editor]. I think it's very difficult to assert the security of a satellite link, so that's why they're using link underground where they can monitor if there's a change in the property of the fibre to see if it's intercepted. That's the way to do it. I don't see any other option.

Mr. Sam Gull:

To add to that, from what we understand from our discussions, the line will be buried at least three feet in the seabed because of the icebergs. That was an issue. If we bury it underground, the submarines won't be able to find it or see it.

Mr. Robert Milot (Advisor, Tawich Development Corporation):

One thing for sure, once the pipeline of fibre optic is built, be it by Quintillion or anybody else, we cannot connect afterwards. It has to be done initially. Representations have been made to the Quebec government, to the Prime Minister, to several ministries, and there is a great interest.

Mr. David de Burgh Graham:

That helps address a lot of problems you've dealt with in this study. We always have problems of [Inaudible—Editor] but this is the first time we've had a solution brought to us. I appreciate very much that you're here to do that.

I have a couple of quick questions for Mr. Jarry, if I still have any time.[Translation]

Mr. Jarry, in your presentation you talked about the Internet and things.

Mr. Luc Jarry:

It's the Internet of Things.

Mr. David de Burgh Graham:

Okay. There was mention of a car talking to a mechanic to make an appointment. Wouldn't that leave the door wide open to the possibility that the car would go directly to a thief's house?

Mr. Luc Jarry:

To a thief's house, you say?

Mr. David de Burgh Graham:

Yes. I puncture a tire and then I tell the car that I'm a mechanic. It comes to my door and then I have the car.

Mr. Luc Jarry:

That could be one of the vulnerabilities.

It goes without saying that these new technologies will lead to situations like that, but that's not the worst it. Right now, with your cell phone you can even control the front door of your house when you're away. You can answer the door and open it remotely. If someone gains access to your system, he or she can easily find out that you're away and then unlock your door.

Mr. David de Burgh Graham:

Yesterday or the day before, there was a security breach in WhatsApp. Are you aware of that?

Mr. Luc Jarry:

Yes.

Mr. David de Burgh Graham:

Could you tell us a bit more about it?

Mr. Luc Jarry:

Malware was remotely installed and used to spy on cell phone communications. If someone got a call, the device was infected, even if the person didn't answer. Again, this is a matter of updating the software. You are right. This made the news yesterday.

Mr. David de Burgh Graham:

You said that 95% of users do not read the end user licence agreement, but I would say that number is closer to 99.99%.

Mr. Luc Jarry:

The figure I provided comes from interviews conducted for a Deloitte study. I agree that that is a very conservative estimate.

Mr. David de Burgh Graham:

You are no doubt aware of what PC Pitstop did in 2005. It offered $1000 to anyone who read its end user licence agreement. It was only after five months and 3,000 sales that the first person claimed the $1000.

Mr. Luc Jarry:

Right.

The Chair:

Thank you, Mr. Graham.[English]

Mr. Motz, you have seven minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you to both groups for being here today.

I was intrigued with your plan to connect. You indicated your connectivity to the line that's being built through your fibre network is time sensitive. When do you anticipate the decision on that connection so you get in the queue to make sure you're connected prior to the line being installed?

(1555)

Mr. Jean Fernand Schiettekatte:

The time frame is two years from now.

Mr. Glen Motz:

And that's when it's anticipated that line will be put through.

Mr. Jean Fernand Schiettekatte:

They have to do the design to see, to have what they call a spur point to be able to connect in Hudson Strait to go down to the thing. The idea is that you have to start the design, the process. They're now working on the connection between Alaska and Japan. They did some surveying last summer and that phase is going to be executed. After that, they'll start to do the design in the two-year time frame

Mr. Glen Motz:

One of the things that you mentioned, sir, in your concluding remarks, was hardware. You're obviously going to need some hardware as part of this line. How do you ensure that your hardware is secure, and that it's reliably sourced? This is a cybersecurity issue. The study we're doing for this committee is primarily focused on the financial end, but it involves lots of different components of cybersecurity. How do you intend to ensure that the hardware you receive is secure?

Mr. Jean Fernand Schiettekatte:

I think it's a process of compliance within the supply of the element. The main point we're making is that if you don't have the line, you will be dependent on the U.S. The situation could not be worse. Of course, you have to make sure that your provider respects all the Canadian security standards for what they call the landing point or the landing station. There are some standards that you can use. Our military has some standards. I think they should be used to ensure you're complying with the proper hardware security issue.

Mr. Glen Motz:

As your organization plans this and moves forward—and I think this is an incredible project to participate in—obviously there will be some expectations. As a proponent of this, you will be expected to ensure that the hardware you use is secure. I'm just curious to know.... That was the line of my questioning.

Mr. Jean Fernand Schiettekatte:

One adviser company that we have in our team is IBM, which is very well known for doing that process, and they already have some standards, yes.

Mr. Glen Motz:

In your material, Mr. Tony Gull, I think you mentioned that one of your businesses is called Creenet. I think that's an incredible business, but I suspect you had some significant challenges when you first started the process in becoming a service provider, especially in the area you're providing it. How have you been able to secure that network, given the challenges you had?

Mr. Tony Gull:

Creenet started back in 1998, roughly. The idea was to basically be an Internet service provider, and to provide those types of services within the region, because they weren't present at the time.

To this point, we have faced many challenges due to market size. It's a very big, very competitive market when you want to be an ISP-type business, and you have to have the market. We were trying to chase after the Cree nation market, but in a nutshell, a regional entity was supported, which I think we have in our presentation. It's called the Eeyou Communications Network, and it is a regional entity run by the Cree nation government.

Mr. Glen Motz:

In your opinion, sir, do you believe that your critical infrastructure—this and other critical infrastructure included— is sufficiently protected in the north by government? Does government take the protection of that critical infrastructure in your part of Canada as seriously as it needs to?

Mr. Tony Gull:

Based on experience—hands-on, I've also managed our company for many years and now I sit at a different level—we're very vulnerable, just like anybody else. I think that security and any information for us...we've really been getting into that to try and secure ourselves, as well.

Like any other nation, like any other organization, as the gentleman spoke about, you're always vulnerable to any cybersecurity issues. You have to make sure that you always keep yourselves up-to-date, in terms of whatever software you use and whatever hardware you have to control it.

(1600)

Mr. Sam Gull:

Just to add to that, I think we know everybody who is coming into and out of the community. There's only one access road into Wemindji and one James Bay highway going north. They monitor everybody going in and out. On a road basis, it's very controllable. Wemindji, of course, has an airport, so it's accessible by air, but there's also James Bay. James Bay is very shallow. I don't think submarines can go in there; they'll hit a few rocks if they do. The bay is very shallow, and the sediments keep moving around.

Mr. Glen Motz:

Mr. Jarry, my last question to you is, given your experience and your current role, do you feel governments do an adequate job in ensuring that our critical infrastructure is resilient to an attack in Canada? Is there anything, from your perspective, that we can do better?

Mr. Luc Jarry:

From what I've seen, I think it's not in just Canada but all the countries in the world right now with the evolution of the Internet of things. When we talk about cyber-attacks, we're mainly talking about protecting the information. We talk about identity theft, fraud, denial of service attacks, those kinds of things. Now as we move forward with connecting objects, it's becoming more physical. That's the concern.

Did we do enough as far as cybersecurity is concerned? For an example, when there's a very sensible transaction or a command to close a certain valve, do we do enough strong authentication or biometric authentication? I don't think the answer is yes. It's probably no. It's not enough. But it's not just in Canada; it's across the world.

The Chair:

Thank you, Motz.

Mr. Dubé, you have seven minutes. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

I'd like to thank all the witnesses for being with us today.

Mr. Jarry, I have a question for you.

I'm sure you heard about the CRTC participating in an RCMP investigation of an individual who was using software known as “bots” for cryptocurrency. Everyone heard about it because it was the first time those powers, which were granted under the anti-spam legislation, were used.

That got me thinking, and it raised a question I'd like your thoughts on. If legislative and regulatory changes were to be made to address all the issues raised during this study, such as the Internet of things, would the CRTC be responsible for dealing with problems? For example, would it be better to create a new organization to enforce standards for devices? Is that something that would be looked at from both a legislative and a regulatory standpoint?

Mr. Luc Jarry:

In the telecommunications industry, the CRTC definitely has an important role to play, especially in the whole area of electronic transmission security. Let's not forget wireless. Cybersecurity is not just about telecommunications; it's also about programming and development. We're also talking more and more about the physical aspect, which needs to be taken into consideration.

I think there should be an organization overseeing all those organizations, something that deals with all those fields. It's not just the CRTC.

Mr. Matthew Dubé:

I understand and I agree.

What about the subject of the search warrant, who might be a cybersecurity threat? It had something to do with cryptocurrency, but we know the individual may have been engaged in other related activities. Under the act, would the RCMP or the CRTC have been able to do anything? Do we really need to update the act? As you said, do we need to be clearer about who deals with what to avoid confusion?

Mr. Luc Jarry:

At the government level, I can't really answer that question, but I can tell you what I see in the industry. In my presentation, I said that electrical engineers are the ones who take care of a lot of equipment now. Those people have no cybersecurity training, but they are connecting things directly to the Internet.

To answer your question, yes, a number of things can be done. Should we have a specialized police force or response team? Maybe, but there are a number of fields involved. As I said, cybersecurity is not just about telecommunications.

(1605)

Mr. Matthew Dubé:

Gentlemen, you talked a lot about wanting to collaborate with Hydro-Québec. I'd like to look at another aspect of the issue that hasn't been raised. I'd like to know what you think about this because of the work you do.

A few years ago, the Government of Quebec, the Union des municipalités du Québec and Hydro-Québec indicated that Hydro-Québec's growing fibre-optic network, which has smart meters, might be a way to provide connectivity in more remote regions. What do you think of that idea in connection with the proposals you've made?

Mr. Jean Fernand Schiettekatte:

We are talking to Hydro-Québec about using its dark fibre network, but that network is still just serving the south. It would help optimize the Eeyou Communications Network, the ECN, and enhance security for the south, but it is not a solution for the north.

We think the committee should look at that because it's a very important issue right now.

Mr. Matthew Dubé:

Absolutely. You explained that well. That brings me to another question.

One of the cybersecurity concerns is the impact on our day-to-day lives because we use more and more things that could be compromised by cybersecurity attacks.

What is the reality for you, being physically far away from major centres? If there were a cybersecurity attack on a network in a major centre, the system would go down and we'd have all kinds of problems, but at least we are geographically close to other communities and other people. What impact could that have on your communities?

Mr. Jean Fernand Schiettekatte:

I can answer that indirectly. Ideally, we'd be like Sweden, where the dark fibre network was installed by the government. All the providers use it and light up the same fibre. If there's a breakdown, one provider would be affected but not the others.

Our problem right now is that there is just one provider using one fibre. The goal would be to have a diversification strategy, and that's what we're talking about with government people. We want to see if there's some way to have more than one provider serving the region.

Mr. Matthew Dubé:

Perfect.

I've covered all my questions, but I just want to pick up on what Mr. Graham said about how it would be good to have a concrete, forward-thinking solution rather than always focusing on current threats. That's important, but your perspective is important too.

Thank you. [English]

The Chair:

Mr. Picard, you have seven minutes. [Translation]

Mr. Michel Picard:

Thank you, Mr. Chair.

Mr. Jarry, you mentioned that you work for Cascades too.

Mr. Luc Jarry:

Yes.

Mr. Michel Picard:

Ever since computers have been around and companies have had electronic systems, we've had IT departments to handle software, updates, firewalls and so on.

Is the cybersecurity department just a new name for the IT department, or is there a different dimension to this that explains why private companies like Cascades now have cybersecurity departments?

Mr. Luc Jarry:

The IT department is still the same, but there's now a cybersecurity group connected to governance that's not part of the IT team.

Mr. Michel Picard:

What process did the company go through in setting up that cybersecurity element? Was it concerned about its equipment and afraid of service interruptions or machinery shutting down? Or was it worried about external attacks compromising its administrative data?

Mr. Luc Jarry:

Sir, cybersecurity is based on three principles: confidentiality, integrity and availability of data. There is also a compliance aspect. All companies have to be in compliance now. I'm not old, but I'm experienced, and I remember a time when cybersecurity measures, though considered best practices, were only suggestions, not mandatory.

We now have mandatory laws and rules in place. Cascades was one of many companies to establish security policies and standards based on ISO 27001 and 27003. The company set up a governance group and deployed a security policy in accordance with its own standards. The policy is based on system confidentiality, integrity and availability.

(1610)

Mr. Michel Picard:

How do you ensure that your suppliers comply with the same standards to guard against being a victim of an attack within your system?

Mr. Luc Jarry:

It's in the contracts. We can require suppliers to have specific certifications. For example, when our employees' personal information is involved, we require all our suppliers to have ISO 27018 certification, which covers the protection of personal information. That's one way to do it. Otherwise, we include specific standards or obligations in our contracts.

Mr. Michel Picard:

My next question might seem like a trap, but I have to ask it anyway.

Let's look at things from the other way around. If Cascades were to be the victim of an outside attack on its data, would it be obligated to report that to someone, somewhere, in some way?

Mr. Luc Jarry:

That depends on the kind of attack. If the attack affected personal information, then absolutely, we'd have to report the incident.

Mr. Michel Picard:

Okay.

That happened at École Polytechnique Montréal and at Ryerson University. My colleague invited a representative from there, but we don't have a lot of institutions or resources in Canada with the expertise to manage our cybersecurity problems. Resources are limited, even rare. We are concerned that, as good as the expertise may be, it's not enough.

If we compare that to expertise developing elsewhere, especially the quality and scope of outside attacks, how would you compare the level of expertise and training available in Canada to those external threats?

I don't want any publicity or marketing here, but frankly, if we want to improve the situation, we need to know where we're at.

Mr. Luc Jarry:

You are right. It is a concern not just in terms of training, but for all aspects of the industry. Experienced resources are becoming increasingly rare.

I have to say that more and more young people are becoming interested in cybersecurity. However, this field is still evolving. It is extremely difficult to find good resources with experience.

As I mentioned, I am a lecturer. We should not forget that this requires expertise in the subject matter taught as well as teaching skills. Those are two different things.

Mr. Michel Picard:

In developing its cybersecurity strategy, is Cascades concerned that the attacks could compromise the survival of the company? Perhaps we are not yet there either?

Mr. Luc Jarry:

In recent years, Cascades has modernized all its platforms. It has migrated to modern platforms, to SAP platforms, among others. With respect to availability, when these systems fail, the intolerance period is about two hours. This means that the plants start shutting down and cease operations after two hours. That is extremely expensive.

You are right. This creates a tremendous dependency. We address that with emergency plans and reconciliation tests with relays or data centres, and also with requirements we have for our service suppliers.

Mr. Michel Picard:

Given the participation of Cascades—which is also a supplier—in this network ecosystem, is connectivity so sensitive that an impact at your end creates comparable difficulties for some of your suppliers?

For example, could someone compromise one of your suppliers by using your system?

(1615)

Mr. Luc Jarry:

In terms of connectivity, I would say no, not with our model.

We have dedicated links to some of our suppliers exactly because we expect greater reliability and availability. These are some of the aspects of fibre optics my colleagues are discussing.

We use protocols with different service providers in Canada and the United States with dedicated MPLS links. This is not necessary for others. We should not forget that there are levels of criticality associated with our systems: there are the “critical”, “standard” and “average” levels. We put in place the measures required to ensure availability.

Mr. Michel Picard:

Thank you.

The Chair:

Mr. Paul-Hus, you have five minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

My first question is for the representatives of Tawich Development Corporation.

We did some research on you. We discovered that you went to China recently and that you have photos of your meeting with the people from Alibaba.

Can you tell us if you reached agreements with them? If so, what kind of agreements?

Mr. Jean Fernand Schiettekatte:

The people at Alibaba want to open data centres in Canada. They want to have data centres that meet Canadian standards. In fact, all transactions between Asia and Canada could flow through a northern fibre. This makes it interesting because it reduces the latency. Alibaba has opened several data centres in the United States.

Mr. Pierre Paul-Hus:

I believe that the photograph shows the Cree nation signing an agreement with the Chinese. Have you already signed a memorandum of understanding?

Mr. Jean Fernand Schiettekatte:

We have signed agreements, but not with respect to data centres. We import security equipment for mines, sweaters and things like that.

Mr. Pierre Paul-Hus:

But no technology.

Mr. Jean Fernand Schiettekatte:

No.

Mr. Pierre Paul-Hus:

All right.

The company would be established in Quebec. Have you calculated the economic benefits for Canada or Quebec of the project you are undertaking?

Mr. Jean Fernand Schiettekatte:

We are in discussions for a prefeasibility study, which would provide more solid statistics on the economic benefits. We believe that the banking data processing centres that would be established in northern Quebec would generate significant economic benefits for Quebec.

Mr. Pierre Paul-Hus:

In the North, we already have the North Warning System, the Canadian portion of which is run by National Defence under NORAD. Would the proposed optical fibre telecommunication link be linked to the 47 existing radar stations?

Mr. Jean Fernand Schiettekatte:

This is very interesting and something that I did not mention in our presentation, which deals more with First Nations. However, it would be important to add the Canadian military bases to this link. That is something that could be considered.

Mr. Scheer wants to ensure Canada's security and presence in the far north, and we believe that this fibre optic line is one of the tools that would make this possible.

Mr. Pierre Paul-Hus:

Perfect, thank you.

Mr. Jarry, when we talk about the Internet of Things, we are also talking about the supply chain. My colleague asked a question about checking the devices that are purchased. What do you think of the Chinese corporation Huawei?

Mr. Luc Jarry:

What is a little surprising about Huawei is that it has been working with Bell Canada for a long time. Now questions are being raised especially because there are concerns about security and espionage. I find it surprising that a company like Bell Canada has been doing business with Huawei for many years while other companies have backed away.

Mr. Pierre Paul-Hus:

Is it the deployment of the 5G network that is problematic? The older devices were different. Could the new devices and 5G technology have a different impact?

Mr. Luc Jarry:

I retired from Bell Canada after working there for many years. However, I did not directly participate in that project. What I can say is that we have concerns about security. I am talking about espionage. I was surprised to learn about that.

(1620)

Mr. Pierre Paul-Hus:

Okay.

Concerning the Internet of Things, you spoke about various remote controls for things. There are definitely some of us who have remote locking systems. These things are controlled by home automation systems. Can the equipment be programmed when installed and controlled afterwards, or must you control the automated system to control the thing?

Mr. Luc Jarry:

One of the main problems with the Internet of Things is cybersecurity. Cybersecurity is not a consideration when designing and manufacturing most of the things that we want to connect to the Internet. One of my recommendations to the committee is to deal with this aspect once and for all. We now have to consider cybersecurity when connecting a device.

Let us not forget that automated systems are not new. As I mentioned, we have been investing in this area for 15 to 20 years. However, these systems were on closed networks. Now we will be able to prevent equipment breakdowns in plants with artificial intelligence.

Earlier, we talked about the availability of systems at Cascades. We will be able to operate systems 24 hours a day, seven days a week, 365 days a year. We can use artificial intelligence to anticipate equipment breakdowns. To take advantage of that we have to connect all the equipment.

We must not forget that the majority of cyber attacks that have taken place in Canada and around the world involve information and denial of service. When we connect these things, it becomes physical. In terms of security, we must now ask ourselves if this will be part of the country's military arsenal. [English]

The Chair:

Thank you.

Ms. Sahota, you have five minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

David is going to be taking my time. [Translation]

Mr. David de Burgh Graham:

I would like to come back to what was said earlier about the attack on WhatsApp, which was reported yesterday. According to the analyses we have learned about to date, it would seem that state actors were responsible for this attack and that the human rights sector was targeted.

In your view, are the world's greatest cybersecurity threats posed by the private sector or state actors?

Mr. Luc Jarry:

Are you referring to vulnerabilities?

Mr. David de Burgh Graham:

I am referring to the exploitation of vulnerabilities.

Mr. Luc Jarry:

In my opinion, one of the problems with managing security incidents is that the companies are starting to communicate more of this type of information. I think it is still a little early.

To answer your question, I think it is a little of everything right now.

Mr. David de Burgh Graham:

Attacks against states do take place and are fairly serious even though they are not the only attacks. What do you think of the KesKuun project that the other witnesses talked about?

Mr. Luc Jarry:

I think the project is interesting. There is one thing they are absolutely right about, and that is that with respect to cybersecurity, availability is very important. In my opinion, it is important that we maintain our sovereignty in Canada, that we have our own fibre for telecommunications.

I am just hearing about this project. From a cybersecurity point of view, I fully support this type of project and approach.

Mr. David de Burgh Graham:

That's good.

I will ask the other witnesses some questions.[English]

Thank you.

I'd like to continue with Mr. Gull on the staging of the project. You said it's already in place in Alaska for this Quintillion project. It's already built in Alaska. What is the rollout process here?

It's in Alaska and we're trying to be a non-U.S. network. Can you explain that a bit more?

Mr. Sam Gull:

The fibre that's being connected now is in service. When the line goes to Japan and to England, it's going to stay in international waters. There are going to be two pipelines that are not going into the U.S. Those are the two pipelines we're interested in, to stay at an international level. The U.S. won't be connected to that line.

Mr. David de Burgh Graham:

Do you have any idea when Quintillion expects to finish construction of the third stage?

Mr. Sam Gull:

It all depends on our winters. The Northwest Passage still freezes. Their concern, too, is the timing of putting that line through the Northwest Passage. That's why they're doing that last. There are certain places where it's very shallow and with the icebergs they really have to take their time and study that part.

(1625)

Mr. David de Burgh Graham:

When you talk about getting the Quintillion line connected to Canada via James Bay to have full network sovereignty, is there any way we can connect it to the west and east coasts as well? Can we connect it as a domestic network and not just an international network for us? Do you have any thoughts on that?

Mr. Jean Fernand Schiettekatte:

Yes, that could be done.

There is a project for a line to go up to Yellowknife. That line could be connected on that side also. That's why our recommendation is basically to have a Canadian team develop that project in the north. I think this should be a recommendation of this committee.

Mr. David de Burgh Graham:

It's a priority to get us connected to that line.

Mr. Jean Fernand Schiettekatte:

Yes. The priority of Tawich is, for sure, the development of northern Quebec.

Mr. David de Burgh Graham:

Sorry, but the priority of this committee is the cybersecurity. From that angle, I think it is fascinating to have this solution. Not only that, but to have it brought forward by the Cree first nation is really interesting for all of us to see.

I have only a few seconds left, I believe.

The Chair:

If Mr. Eglinski is going to have any time at all, you'll probably have to be really brief.

Mr. David de Burgh Graham:

I'll say one more thing to Mr. Jarry, and then I'll give it Mr. Eglinski. That's security by design.

Mr. Luc Jarry:

What do I think about security by design?

Mr. David de Burgh Graham:

Yes.

Mr. Luc Jarry:

How many minutes do I have?

The Chair:

You don't have any minutes at all.

It's a good question. We'll have to work on the answer.

We'll go to Mr. Eglinski for the final five minutes.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I'd like to thank our witnesses for being here today.

I'll start with this line you're proposing through the High Arctic and over to China. It's going to Japan? Good. All right.

Why would you have gone along the Arctic and not crossed along the bottom of Hudson Bay and then come across Canada, when there's been a lot of talk of a transportation corridor along the northern provinces and the bottom of the Northwest Territories, and connect it in...? It seems that there's a lot of extra work to go up toward the top and around, when you could tie into the bottom of Alaska and then follow the Aleutians out. It's the same with connecting to your European....

Was there a rationale for wanting to go so much higher up?

Mr. Jean Fernand Schiettekatte:

There was a rationale around it. You can see it when you take a plane. All the flights that go from Toronto or Montreal to Asia basically go by the north. If you look at the distances, it's shorter to go by the north than by the south of Canada. That's where you gain the latency; there's a technical reason that is related to the business case. That's how you would attract the financial institution investor.

That's the first reason. The second reason is that we are for sure in the north, so we're pushing the development of the north; that's the mandate of Tawich. It's thus an interest of ours, but I think it's an interest of Canadians as a whole, especially given the discussion you saw in the news involving our neighbours in the U.S. who want to assume sovereignty over Canada.

I think it's very important that if you buy that line, you would mark with a substantial development the north of Canada. If you don't occupy the territory, at one point you can lose sovereignty over it.

Mr. Jim Eglinski:

I'm glad to hear that coming from the business community, because it is a concern. It's a concern with our caucus that the sovereignty of the north must be looked after. Thank you for planning that in your strategy.

You talk about the power you need—some parts here say 300 and then 200 megawatts. Is that to feed the power to the line all the way across, or are you going to have to add more power as it continues? That's quite a distance that we're shooting, from your part of the country right around the top.

Mr. Sam Gull:

The main point for the power from the La Grande dams is to feed the data centres. It's the data centres that consume a lot of energy because of the size of these data centres. It doesn't take too many data centres to consume 200 megawatts, even though we have all the natural cooling systems in the north, which reduce the cost of operating data centres. I visited data centres in Silicon Valley, and their main issue is the cost of cooling their computers.

(1630)

Mr. Jim Eglinski:

I take it from what you're saying here that your data centres will be located in your traditional territorial lands and then you'll be feeding that data back into Canada and other locations.

Mr. Sam Gull:

Yes.

Mr. Jean Fernand Schiettekatte:

To answer your question, yes, that's why there will be opportunity to connect some remote communities from which you'll get some power to do the repeaters. A design has been done to have a couple of communities feeding the line in the north of Canada. This is an occasion to feed. It could also be a military base that might be used to allocate the thing. I think it's a very interesting project.

Mr. Jim Eglinski:

Thank you.

Mr. Jarry, in your professional experience, do you think we everyday users of the Internet services can protect ourselves adequately? Are there proper programs that we can buy to protect our home security, or is that just a fallacy of someone selling me a product that probably is not going to do the job?

Mr. Luc Jarry:

Security is about two things, mainly. It's about training and about awareness. I mentioned earlier that many people agree to some confidentiality and haven't read the agreement.

To answer your question, yes, you can definitely improve your security. Now, is it 100% foolproof? I can compare it to driving a car. Putting on your seatbelt and having your ABS brakes and all those security systems enabled will probably prevent your getting hurt, if you get into an accident. But do you still have a chance of having an accident? You still do, yes.

Mr. Jim Eglinski:

Security is only as good as the service that is being provided to Canadians, and in parts of Canada we know that the service is terrible, or almost to the point of rotten, whereas in other areas you have a very good service.

The Chair:

Thank you, Mr. Eglinski.

Before I let you go, whose is the money behind Quintillion?

Mr. Jean Fernand Schiettekatte:

From what we know, because we don't know them, it's a U.S. company that is basically supporting this project.

The Chair:

So this is U.S. money and a U.S. company—

Mr. Jean Fernand Schiettekatte:

Yes.

The Chair:

—and this will be a project to protect us from going through the U.S.

Mr. Jean Fernand Schiettekatte:

Yes, that's why we say we would like to have a Canadian team, but the Cree, we have some money, but we don't have enough to do it alone.

The Chair:

Would a Canadian entity, whether it's you, somebody else or some combination, own it up through James Bay and Hudson's Bay up to the connection point, or would you own it all the way over to Alaska?

Mr. Jean Fernand Schiettekatte:

We would like to own it up to Alaska and up to Europe. We would basically like to own phase three.

The Chair:

What is the significance of being in international waters as opposed to domestic waters? You know there is a dispute over the Northwest Passage. Canada regards it as domestic. Mr. Pompeo regards it as international. What would be the significance of whether it's domestic or international to your project?

Mr. Jean Fernand Schiettekatte:

It's basically not to be submitted through the PATRIOT Act and all the laws that regulate it. You want to try to be out of the reach of the NSA system. That's a concern that I think Canadians should be aware of. If I talk to the question that was asked of Mr. Jarry about who is doing the spying, it's a very good question.

The Chair:

Finally, is your project subject to Canadian security review?

Mr. Jean Fernand Schiettekatte:

Yes, it would be.

The Chair:

Has that been initiated?

Mr. Jean Fernand Schiettekatte:

No, we're still in the study phase. If you look on the Internet, you won't find too much information about what we're doing. Now is the first time we've publicized what we're doing. Yes, we have had some contacts, but there is still a lot of work to be done.

The Chair:

Thank you for that.

I'm sorry to interrupt what is a really good and interesting conversation, but with that, we are going to adjourn, and I want to thank you again for your presentation to the committee.

We are suspending, not adjourning, and then we are going in camera. Thank you.

[Proceedings continue in camera]

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Chers collègues, je constate que nous avons le quorum. Bienvenue à la 163e réunion de notre vénérable comité, le meilleur comité sur la Colline.

Je suis heureux d'accueillir nos invités aujourd'hui, qui en sont tous à leur première comparution devant un comité parlementaire. J'ai demandé à mes collègues de vous ménager.

Comme vous le savez sans doute, vous aurez chacun 10 minutes. J'inviterai M. Jarry à prendre la parole en premier. Lorsqu'il aura terminé, je demanderai à M. Gull de présenter les membres de son groupe, qui seront ensuite invités à intervenir pour une période de 10 minutes.

Monsieur Jarry, vous pouvez y aller. [Français]

M. Luc Jarry (conseiller sénior en cybersécurité, à titre personnel):

Merci, monsieur le président.

Bonjour, mesdames et messieurs les membres du Comité.

Je m'appelle Luc Jarry et je suis conseiller sénior en cybersécurité auprès de l'entreprise Cascades. Je suis également chargé de cours. J'enseigne la cybersécurité industrielle à Polytechnique Montréal, qui est affiliée à l'Université de Montréal.

Il s'agit de ma première expérience comme témoin. J'ai consacré un peu de temps à la lecture des autres témoignages et je constate que plusieurs sujets ont été abordés. Aujourd'hui, je vais vous parler d'un sujet qui touche pratiquement tous les domaines, que ce soit sur le plan financier, industriel, des affaires ou personnel. Je parle de l'Internet des objets, mieux connu sous l'acronyme IDO, qui est naturellement associé à l'intelligence artificielle.

En quoi consiste l'Internet des objets? Je crois que la meilleure définition est la plus courte: c'est une intégration entre le monde physique et le monde virtuel et informatique. Depuis quelques années, partout dans le monde, on vit une révolution extraordinaire quant au branchement des objets sur les réseaux TCP-IP. Je parle ici d'Internet. On estime que, d'ici 2020, entre 40 et 50 milliards d'objets seront connectés à Internet. Il faut d'ailleurs se demander s'il ne faudrait pas remplacer le terme « Internet des objets » par « Internet de tout ».

Associé à l'intelligence artificielle, l'Internet des objets rend possible ce qui était inimaginable il y a quelques années. Je vais vous donner comme exemple les automobiles qui vont se conduire elles-mêmes. Elles font encore l'objet de tests. Nous en avons tous entendu parler. Aujourd'hui, si votre automobile est le moindrement récente, elle est probablement munie d'un témoin qui mesure la pression de ses pneus. Si un des pneus est mou, le témoin va envoyer un message à l'ordinateur de bord pour que le conducteur sache qu'un des pneus est mou. Le conducteur va alors devoir remédier à la situation.

Avec l'Internet des objets, la même chose va se produire, mais en plus d'informer le conducteur, la voiture va elle-même prendre un rendez-vous chez le concessionnaire ou au garage qui assure son entretien. La voiture va se rendre elle-même chez le concessionnaire pour qu'on y règle le problème et va ensuite revenir à son point d'origine. Vous voyez un peu le potentiel que cela représente. Cela va ouvrir des possibilités extraordinaires dans tous les domaines.

Hélas, avec toutes les nouvelles technologies, on fait face à de nouvelles menaces et à de nouvelles conditions de vulnérabilité. Or, ce sont presque uniquement les ordinateurs — munis de microprocesseurs et exploités par des systèmes d'exploitation — qui sont branchés sur nos réseaux Internet. Cela nous permet d'établir des défenses de base en cybersécurité. Par exemple, je constate qu'il y a dans la salle des ordinateurs portatifs qui sont ouverts. Je suis certain que ces ordinateurs font l'objet d'une protection de base en matière de cybersécurité. Il s'agit ici d'un pare-feu personnel activé et, probablement, d'un logiciel antivirus — qui, je l'espère, inclut les dernières signatures virales —, ainsi que d'un détecteur de maliciels. Un fait est important à noter. Ces ordinateurs sont munis d'un processeur et sont en mesure de chiffrer et déchiffrer les informations. Je parle ici de cryptage, une stratégie largement utilisée en cybersécurité.

Le problème, dans le cas de l'Internet des objets, est que les objets sont dépourvus de systèmes d'exploitation et de processeurs. Il n'est donc pas possible de les munir d'une protection de base, comme on peut le faire pour les ordinateurs. Cela les rend extrêmement vulnérables.

Au cours des 15 ou 20 dernières années dans le monde industriel, beaucoup d'investissements ont été faits dans des projets de mécanisation et d'automatisation. Aujourd'hui, les usines modernes utilisent des contrôles industriels tels que des automates programmables, des SCADA, qui communiquent entre eux par l'entremise de leurs protocoles de télécommunication. Ce sont des réseaux fermés et invisibles sur Internet. On en parle souvent comme de l'Intranet. Pour que les entreprises puissent bénéficier des avantages de l'intelligence artificielle, elles doivent brancher ces automates ou ces contrôles industriels à Internet pour communiquer avec des fournisseurs de services en intelligence artificielle, ce qui les rend très vulnérables.

D'un autre côté, selon mes propres observations, les contrôles industriels actuels dans les usines sont maintenus et contrôlés par des électromécaniciens, dont la plupart n'ont pas reçu de formation en cybersécurité.

Présentement, plusieurs entreprises font des branchements à l'Internet et créent des failles dans leurs propres réseaux, ce qui peut mener à des intrusions. On parle ici de vol d'information et d'espionnage industriel, bref, d'accès non autorisés.

Il y a pire que cela maintenant. Avec l'Internet des objets, imaginez qu'un pirate informatique ou même un groupe terroriste prenne le contrôle à distance d'infrastructures essentielles telles que des barrages hydroélectriques, des usines de filtration d'eau et des hôpitaux. Imaginez tous les dégâts et les menaces à la sécurité publique et financière que cela entraînerait.

On ne peut pas ignorer l'aspect de la vie privée. Comme vous le savez, les gens connectent de plus en plus des objets à leur réseau privé à la maison ou à leur téléphone cellulaire. À titre d'exemple, vous pouvez acheter un réfrigérateur qui se branche à l'Internet et qui est muni d'un écran semblable à celui d'une tablette. Le réfrigérateur peut faire l'inventaire de tous les aliments qu'il contient, gérer leurs dates de péremption et même vous proposer, au moyen de l'intelligence artificielle, des recettes basées sur ces aliments. C'est merveilleux. Par contre, du point de vue de la vie privée, on peut se demander si les compagnies d'assurance-vie souhaiteraient connaître le contenu du réfrigérateur de leurs clients. La réponse est oui.

Au Canada, les Canadiens et les Canadiennes sont protégés par des lois sur les renseignements personnels, mais il y a un problème. De nombreuses études démontrent que près de 95 % des gens acceptent des conditions de confidentialité sans les avoir lues. Les gens acceptent souvent des choses, mais ils ne savent pas quoi exactement.

Toujours au sujet de la vie privée, il y a des assistants qui se branchent à l'Internet et qui s'activent après que vous avez prononcé une phrase ou un mot clé. Vous pouvez alors échanger avec eux au sujet de diverses informations qui se trouvent sur l'Internet, telles que la météo et les nouvelles. Si des appareils de ce genre sont branchés sur un réseau résidentiel non sécurisé, auquel il est très facile d'avoir accès, un pirate informatique, au moyen d'un ver informatique, pourrait vous enregistrer. Si l'appareil est muni d'un appareil photo, un pirate informatique pourrait prendre des photos de vous. Il y aurait manifestement une violation de la vie privée.

Je pourrais vous donner plusieurs exemples. Le document que je vous ai présenté contient une série de recommandations, mais, hélas, je n'aurai pas le temps de toutes les passer en revue.

Avec votre permission, monsieur le président, je vais répondre aux questions maintenant.

Je vous remercie.

(1535)

Le président:

Merci, monsieur Jarry.[Traduction]

Je vais probablement devoir me procurer un de ces réfrigérateurs, comme ça je n'aurai plus à préparer mes propres repas. Ce sera véritablement miraculeux.

M. Michel Picard (Montarville, Lib.):

Ils ne préparent pas les repas pour vous.

Le président:

Un sandwich au baloney reste un sandwich au baloney, peu importe qui le prépare.

Monsieur Gull, vous avez 10 minutes; je vous demanderais de bien vouloir présenter vos collègues.

M. Tony Gull (président, Tawich Development Corporation):

Merci.

[Le témoin s'exprime en cri.]

[Traduction]

Je vous remercie de nous avoir donné l'occasion de nous exprimer et de vous décrire rapidement les occasions que nous envisageons saisir pour le bien de notre nation — la nation crie — et de notre collectivité, plus précisément, Wemindji.

À ma gauche sont les conseillers qui travaillent avec nous, la société, dans ce dossier. Je vous présente Sam Gull, conseiller; Jean Schiettekatte, également conseiller; et Robert Milo. Ces trois conseillers sont en quelque sorte des experts en matière de ce que nous cherchons à accomplir.

Comme vous l'avez sans doute compris, nous cherchons à établir un lien de télécommunication par fibre optique reliant le Canada, l'Asie et l'Europe, lien essentiel pour assurer la cybersécurité dans le secteur financier au Canada.

La société elle-même appartient à part entière à la collectivité de Wemindji, qui compte quelque 1 400 habitants. Pour vous donner une idée, à l'heure actuelle, la société s'appelle Tawich. Tawich signifie « éloigné ». C'est littéralement une société de développement éloignée.

Pour votre information, je précise que la société compte actuellement plus de 1 000 employés au Québec — en Abitibi et ailleurs — et regroupe diverses compagnies. Tout simplement, nous avons ici une nouvelle occasion formidable de nous rapprocher de notre objectif, qui est de convaincre certaines personnes de contribuer au projet ensemble.

Comme vous le savez déjà, c'est keskun, qui signifie « nuages ». Dans le monde de l'informatique et d'Internet, « nuages » se dit keskun dans notre dialecte. Concrètement, il s'agit du projet de centre de données qui sera construit sur le territoire cri de notre collectivité. Keskun est essentiellement un parc de grands centres de données nordiques; c'est le projet qui nous occupe.

Le projet nécessitera initialement une alimentation en électricité de 200 mégawatts. Tout le monde sait que la centrale Robert Bourassa, située à quelques heures de route de chez nous, est la source d'énergie verte la plus fiable en Amérique du Nord. Le 29 avril 2019, la Régie de l'énergie du Québec a autorisé l'attribution d'un certain nombre de mégawatts aux centres de calcul.

Nous sommes d'avis que le Canada est essentiellement limité aux États-Unis pour sa connectivité Internet internationale. Environ 11 % du trafic Internet international canadien ne passe pas par les États-Unis.

Le témoin précédent a invoqué une image que nous utilisons souvent. Il se bâtit une grande autoroute, et nous voulons y construire un point d'accès pour pouvoir l'emprunter. La cybersécurité canadienne, y compris les transactions financières, dépend des États-Unis. C'est ce que nous considérons comme un maillon faible.

Je cède maintenant la parole à mes conseillers et collègues, qui vous en diront un peu plus sur le projet.

(1540)

M. Sam Gull (conseiller, Tawich Development Corporation):

Meegwetch.

[Le témoin s'exprime en cri.]

[Traduction]

Je vous remercie de m'avoir invité à faire ma présentation.

Comme vous pouvez le voir à l'écran, notre plus gros problème ici, au Canada, est que tous nos liens sont aux États-Unis. Seuls 11 % de ces liens se situent au Canada — plus précisément, entre Terre-Neuve et le Groenland. C'est notre seule issue. Tous les autres liens se trouvent aux États-Unis. C'est selon nous un grave problème.

Comme vous pouvez le voir à l'écran, nous envisageons participer à un projet : le lien de fibre optique Quintillion. L'Alaska est déjà desservie; c'était la première phase. La deuxième consistera à étendre le réseau de l'Alaska jusqu'au Japon, et la troisième, à rejoindre l'Alaska et l'Europe en passant par le détroit d'Hudson. C'est dans le cadre de la troisième phase que nous souhaitons connecter Wemindji au réseau. En effet, quand la canalisation sera posée, nous aurons une seule occasion de nous connecter, et nous ne voulons certainement pas la manquer.

Le lien nordique consiste en une fibre... Six grandes liaisons à fibres optiques y sont connectées, dont deux se situent exclusivement en eaux internationales. C'est à ces deux liaisons-là que nous souhaitons nous connecter, car notre Première Nation considère essentielles la sécurité, la sûreté et la souveraineté de l'Arctique. Le lien qui longera la baie James ira également rejoindre Montréal, Toronto et le réseau du sud.

Un projet de fibre optique nordique est nécessaire pour assurer la connectivité internationale du Canada et assurer la cybersécurité de son réseau.

Comme vous pouvez le voir sur la carte qui s'affiche à l'écran, la liaison optique traverserait le passage du Nord-Ouest, de l'Alaska en passant par le détroit d'Hudson. C'est là que nous voulons rejoindre le réseau, par la baie James jusqu'à la collectivité de Wemindji, où se situe la Société de développement Tawich, et à partir de là, on irait rejoindre Montréal et Toronto.

Comme vous pouvez le voir sur la carte, 89 % des données canadiennes transitent par les États-Unis. Ainsi, elles sont régies par la Patriot Act américaine, créant une vulnérabilité sur le plan de la sécurité. Une nouvelle fibre optique nordique du Canada serait en mesure de changer ce paradigme. Il est important d'avoir des centres de données avec accès par fibre optique à la connectivité internationale et à très haute connectivité à très faible latence — de l'ordre des millisecondes — sur de longues distances. La position géographique — soit la proximité des centres financiers à Londres, New York, Tokyo, Shanghai, Montréal et Toronto — est elle aussi critique. Nous avons aussi l'avantage d'être alimentés par de l'énergie renouvelable provenant d'un réseau nordique inépuisable, ultra fiable et très peu coûteux, soit de l'ordre de 4 ¢US par kilowatt. De plus, les coûts d'exploitation de nos centres de traitement des données sont très faibles, surtout compte tenu de leur capacité de refroidissement. Comme on le sait, ces ordinateurs ont tendance à surchauffer.

Un lien nordique assurerait la sécurité de la connectivité internationale indépendamment des États-Unis. En guise d'exemple, on serait en mesure d'accélérer les délais de transmission de 18 millisecondes entre Montréal et Tokyo. Aux États-Unis, on ne constaterait aucune réelle différence. C'est entre Montréal et Toronto et l'Angleterre et l'Asie que l'on verrait la plus grande amélioration.

Dans son plan stratégique, Hydro Québec a annoncé un taux d'environ 4 ¢ par kilowatt, ce qui représente un avantage considéraBle pour nous en matière de consommation électrique. Nous avons aussi l'avantage d'être sur le bouclier canadien, qui n'éprouve aucun tremblement de terre. Vous avez sûrement entendu parler de ce qui s'est passé au Japon et en Alaska. Comme les tremblements de terre sont un grave problème, il y aurait intérêt à situer les centres de données du Nord sur le bouclier.

J'aimerais maintenant céder la parole à Jean Schiettekatte, qui terminera notre présentation.

(1545)

M. Jean Fernand Schiettekatte (conseiller, Tawich Development Corporation):

Merci, Sam.

Merci à tous de votre accueil aujourd'hui.[Français]

Comme vous l'avez vu dans la présentation, en raison des temps de latence très faibles, toutes les transactions financières canadiennes passeront par ce lien. C'est une occasion pour nous d'offrir aux Canadiens une solution de sécurité qui n'est pas que logicielle; elle est aussi matérielle. L'idée est de construire une fibre nordique indépendante et internationale, dont le principal avantage serait de permettre aux Canadiens d'assurer leur souveraineté sur ce territoire, avec les Premières Nations. C'est un aspect très important que nous voulons voir dans ce projet.

Je pense que c'est aujourd'hui votre dernière réunion sur ce sujet. Nous aimerions que le Comité se penche sur cette option. Il y a le lien Quintillion qui est en développement dont un premier segment est déjà en service, mais il pourrait y avoir un autre projet canadien qui se relierait au réseau. Comme l'a dit M. Gull, des parties de ce câble resteraient en eaux internationales. Cela pourrait fournir une connexion internationale cybersécuritaire et assurerait aux Canadiens un accès à d'autres marchés avec un temps de latence très faible. Cela nous donnerait un avantage dans nos transactions financières internationales et, plus important encore, cela nous permettrait d'assurer la souveraineté du Canada sur ce passage.

Il serait intéressant de combiner cela avec l'interconnexion des communautés nordiques, mais cela ne devrait pas être le premier objectif. Le premier objectif est d'assurer notre sécurité. Évidemment, il y a toutes sortes d'autres avantages, comme la formation de travailleurs et la création d'emplois dans le Nord, qui sont bénéfiques sur le plan économique.

Merci, monsieur le président.

Le président:

Merci à tous.[Traduction]

Monsieur Graham, je précise que vous avez sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci à tous d'être venus. Nous avons deux témoins très différents aujourd'hui.

Je dois dire que je trouve le projet keskun fort intéressant. Comme vous le savez, nous en avons déjà parlé.

Monsieur Gull, si on manque la chance de se raccorder au réseau de fibre optique Quintillion à l'étape de sa construction, dans quelle mesure sera-t-il difficile de s'y raccorder par la suite?

M. Sam Gull:

En tant que Canadien et que Cri, j'estime que le Canada doit agir, qu'il doit construire sa propre fibre optique. Tout le monde sait que la quantité d'information ou de données que nous utilisons par année augmente, et elle continuera d'augmenter. Ça ne ralentira pas de sitôt.

Si nous ne pouvons pas nous connecter au réseau Quintillion, j'estime que le Canada devrait agir et construire son propre réseau de fibre.

M. David de Burgh Graham:

Vous disiez dans votre introduction que c'est une question de souveraineté des réseaux. Le Canada n'a aucune telle souveraineté. Quintillion, qui relie Tokyo à Londres, si j'ai bien compris, nous permettrait d'avoir une certaine souveraineté par rapport aux États-Unis, ce qui semble être l'objectif premier.

À propos de l'exploitation de centres de traitement des données, vous avez parlé d'un avantage de 18 millisecondes et de son impact sur le secteur des finances. Relativement aux investissements, qu'est-ce que cela signifie pour le secteur financier? Faudra-t-il que les centres de données du secteur déménagent plus au nord?

M. Tony Gull:

J'aurais une observation à faire avant que Jean vous donne une réponse un peu plus pointue.

En ce qui me concerne, c'est une question de développement économique; c'est pour ça que je suis ici. J'ai pour mandat le développement économique, et j'estime également que le gouvernement fédéral a une responsabilité à cet égard — tout comme vous, dans une certaine mesure. Je pense que le projet présente d'importants débouchés économiques, mais surtout... Quand on parle de cybersécurité ou de souveraineté des réseaux, tout revient aux données elles-mêmes. Il est essentiel qu'on les ait et qu'on les garde.

Pour moi, quand on parle d'impact, tout revient au développement économique, car c'est mon mandat. C'est mon domaine d'activité, et c'est pourquoi j'ai voulu comparaître devant vous aujourd'hui.

Allez-y, Jean.

M. Jean Fernand Schiettekatte:

La réponse simple est assez intéressante. On peut la trouver dans le tableau des latences. À ce point-ci, aucune banque au monde ne peut se permettre de ne pas avoir un centre. Quiconque effectue des opérations en devises étrangères doit avoir accès en tout temps aux données provenant des marchés de Londres, de Tokyo et de New York. Nous serons le point d'accès. Les principales transactions commerciales — celles dont vous avez parlé, où quelqu'un s'est fait pirater — passeront par cette ligne, et c'est nous qui la contrôlerons. Ce n'est pas le cas pour le moment et toutes nos transactions passent par New York. Chaque fois que vous transférez de l'argent, la transaction transite par New York, par son système.

Voilà pourquoi nous estimons que c'est si important au chapitre de la cybersécurité. Pour combler cette lacune, il faut absolument envisager des solutions matérielles.

(1550)

M. David de Burgh Graham:

Qui contrôle la ligne?

M. Jean Fernand Schiettekatte:

Aux États-Unis, c'est la NSA qui surveille toutes vos transactions.

M. David de Burgh Graham:

Je suppose qu'ils travaillent de ce côté-ci de la frontière, aussi, ce qui m'amène à une autre question. La ligne Quintillion et la ligne keskun touchent toutes deux à la sécurité nationale. Que peut-on faire pour protéger les lignes contre d'éventuelles attaques par des sous-marins en mission scientifique dans le Nord?

M. Jean Fernand Schiettekatte:

Je pense qu'il faudrait avant tout affirmer notre souveraineté. Quiconque arrive le premier occupera le territoire. C'est compromettre sa souveraineté que d'attendre qu'une autre compagnie ou qu'un autre pays prenne l'initiative. L'idée, c'est justement de surveiller [Inaudible]. Je pense qu'il est très difficile d'affirmer la sécurité d'une liaison par satellite, c'est pourquoi on construit le réseau sous terre. Ainsi, on peut assurer une surveillance et déterminer si les propriétés de la fibre optique sont intactes et s'il y a eu tentative d'interception. C'est la façon de procéder. Je ne vois aucune autre option.

M. Sam Gull:

J'ajouterais également que, selon les discussions que nous avons eues, la ligne sera posée au moins trois pieds sous le plancher océanique à cause des icebergs. C'était un problème. Si nous la mettons sous terre, les sous-marins ne pourront ni la trouver, ni la voir.

M. Robert Milot (conseiller, Tawich Development Corporation):

Une chose est sûre, à partir du moment où Quintillion ou autre aura terminé la construction de la canalisation de fibre optique, on ne pourra plus se connecter au réseau. Il faut que ce soit fait avant. Nous avons déjà fait des démarches auprès du gouvernement du Québec, du premier ministre et de divers ministères; l'idée semble susciter un vif intérêt.

M. David de Burgh Graham:

Voilà qui répond à bien des problèmes qui ont été soulevés dans le cadre de l'étude. Nous avons toujours des problèmes dans [Inaudible], mais c'est la première fois qu'on vient nous présenter une solution. Je vous en suis très reconnaissant.

J'ai quelques courtes questions à poser à M. Jarry, s'il me reste du temps.[Français]

Monsieur Jarry, dans votre présentation, vous avez parlé de l'Internet des affaires.

M. Luc Jarry:

C'est l'Internet des objets.

M. David de Burgh Graham:

D'accord. On parlait d'une automobile qui parle à un mécanicien pour prendre rendez-vous. Cela n'ouvre-t-il pas grand la porte pour que l'automobile aille directement à la maison du voleur?

M. Luc Jarry:

À la maison du voleur, vous dites?

M. David de Burgh Graham:

Oui. Je crève le pneu d'une automobile, puis je lui dis que je suis son mécanicien. Elle s'en vient me voir et j'ai l'automobile.

M. Luc Jarry:

Cela peut être une des vulnérabilités.

Il va de soi que ces nouvelles technologies vont mener à des situations semblables, mais il y a pire que cela. Présentement, avec votre téléphone cellulaire, vous pouvez même contrôler la porte de votre maison lorsque vous êtes absent. Vous pouvez répondre et ouvrir la porte à distance. Si quelqu'un s'infiltre dans votre système, il peut facilement savoir que vous êtes absent et déverrouiller votre porte.

M. David de Burgh Graham:

Hier ou avant-hier, il y a eu une faille de sécurité dans WhatsApp. Êtes-vous au courant de cela?

M. Luc Jarry:

Oui.

M. David de Burgh Graham:

Pouvez-vous nous en parler davantage?

M. Luc Jarry:

Un logiciel malveillant a été installé et a espionné les communications de téléphones cellulaires. Si on a appelé une personne, l'appareil a été infecté, et ce, même si elle n'a pas répondu,. C'est encore une question de mises à jour. Vous avez raison. C'est sorti dans les médias hier.

M. David de Burgh Graham:

Vous avez dit que 95 % des gens ne lisent pas le contrat de licence d'utilisation, mais je dirais que c'est plutôt 99,99 %.

M. Luc Jarry:

Le chiffre que j'ai donné vient d'entrevues qu'a faites Deloitte dans le cadre d'une étude. Je suis d'accord avec vous que ce chiffre est très conservateur.

M. David de Burgh Graham:

Vous êtes sans doute au courant de ce qu'a fait PC Pitstop en 2005. Elle offrait 1 000 $ à qui lirait son contrat de licence d'utilisation. Cela a pris cinq mois et 3 000 ventes pour que quelqu'un réclame les 1 000 $.

M. Luc Jarry:

Tout à fait.

Le président:

Merci, monsieur Graham.[Traduction]

Monsieur Motz, vous avez sept minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Je remercie les deux groupes de témoins d'avoir accepté de comparaître.

Votre projet de connexion m'intrigue. Vous avez indiqué qu'il va falloir agir rapidement pour se connecter au réseau de fibre optique en cours de construction. Quand est-ce que vous vous attendez à connaître la décision afin de pouvoir prendre votre place en ligne et vous assurer d'être connecté avant l'installation de la ligne?

(1555)

M. Jean Fernand Schiettekatte:

Présentement, le délai est de deux ans.

M. Glen Motz:

C'est l'échéancier prévu pour la construction de la ligne.

M. Jean Fernand Schiettekatte:

Ils doivent d'abord dresser des plans pour voir s'il est possible d'établir un lien dans le détroit d'Hudson qui irait rejoindre le reste. L'idée, c'est qu'il faut d'abord dresser des plans et déterminer le processus. On s'occupe présentement de la connexion entre Alaska et le Japon. Au terme d'un exercice de repérage l'été dernier, le feu vert a été donné à cette phase-là du projet. Par la suite, ils commenceront à dresser les plans pour les deux années suivantes.

M. Glen Motz:

Dans votre conclusion, vous parlez, entre autres, de solutions matérielles. Vous allez certainement avoir besoin de matériel pour rejoindre ce réseau. Comment assurer, d'une part, la sécurité matérielle, et de l'autre, la fiabilité du fournisseur? C'est une question de cybersécurité. L'étude du comité s'intéresse avant tout aux dimensions financières, mais elle touche également à maints égards à la cybersécurité. Comment comptez-vous contrôler la sécurité du matériel que vous recevrez?

M. Jean Fernand Schiettekatte:

Je pense que c'est une question de conformité de l'ensemble du processus d'approvisionnement. Notre argument principal, c'est qu'on va dépendre des États-Unis tant qu'on n'aura pas sa propre ligne. Il est impossible de sous-estimer la gravité du problème. Évidemment, il faut s'assurer que le fournisseur des composantes de ce qu'on appelle les stations de raccordement aux lignes terrestres respecte toutes les normes canadiennes en matière de sécurité. Il y a certaines normes qui s'appliquent. Nos forces armées en ont. Je pense qu'il faudrait appliquer ces normes-là si on veut véritablement garantir la sécurité matérielle.

M. Glen Motz:

À mesure que votre organisation dresse ses plans et franchit des étapes — je pense d'ailleurs que c'est un excellent projet auquel participer — il y aura des attentes, c'est sûr. En tant que promoteur du projet, on attendra de vous que vous assuriez la sécurité du matériel que vous utilisez. C'est par curiosité que je pose ces questions.

M. Jean Fernand Schiettekatte:

Nous faisons affaire avec un certain nombre d'entreprises-conseil, dont notamment IBM, qui a la réputation d'avoir réalisé des projets semblables; effectivement, elle suit certaines normes.

M. Glen Motz:

Dans votre présentation, monsieur Tony Gull, je pense que vous avez mentionné qu'une de vos entreprises s'appelle Creenet. Je pense que c'est une excellente initiative commerciale, mais j'imagine que vous vous êtes retrouvés face à d'importants obstacles lorsque vous avez entamé le processus pour établir un fournisseur de services, surtout dans la région que vous vouliez desservir. Comment avez-vous réussi à créer ce réseau, compte tenu des difficultés que vous avez eues?

M. Tony Gull:

Creenet a commencé aux alentours de 1998. L'idée était d'établir un fournisseur de services qui serait en mesure de desservir la région en question; à l'époque, il n'y en avait pas.

Dans le même ordre d'idées, la taille du marché complique les choses à maints égards. Les entreprises du milieu fonctionnent dans un marché très concurrentiel de très grande envergure; il faut donc avoir un marché suffisant. Nous poursuivions le marché de la nation crie, mais en bref, on a plutôt appuyé l'idée d'une entité régionale; je pense qu'il en a été question aujourd'hui. C'est le Réseau de communications Eeyou, une entité régionale dirigée par le gouvernement de la nation crie.

M. Glen Motz:

À votre avis, monsieur, les infrastructures essentielles du Nord — celles dont nous parlions et les autres — sont-elles suffisamment protégées par le gouvernement? Le gouvernement prend-il la protection des infrastructures essentielles dans votre région du Canada aussi au sérieux qu'il le devrait?

M. Tony Gull:

Avant d'occuper mes fonctions actuelles, j'ai géré directement l'entreprise pendant de nombreuses années. Selon mon expérience, nous sommes très vulnérables, comme tout le monde. En ce qui concerne la sécurité et la protection de l'information, nous n'avons ménagé aucun effort pour prendre les mesures appropriées.

Toutes les nations ou toutes les entreprises, comme monsieur en a parlé plus tôt, sont vulnérables aux problèmes de cybersécurité. Il faut toujours rester à jour, que l'on pense au logiciel ou au matériel utilisés.

(1600)

M. Sam Gull:

Je voudrais ajouter quelque chose. Je crois que nous savons qui entre dans la communauté et qui en sort. Il n'y a qu'une voie d'accès vers Wemindji et une route vers le nord, la route de la baie James. Toutes les entrées et les sorties sont surveillées. L'accès routier est très facilement contrôlable. Wemindji a évidemment un aéroport. La communauté est donc accessible par avion. Il y a aussi la baie James, qui est très peu profonde. Je ne crois pas que les sous-marins peuvent s'y déplacer. Quelques rochers se dresseraient sur leur chemin. La baie est très peu profonde, et l'emplacement des sédiments change constamment.

M. Glen Motz:

Monsieur Jarry, ma dernière question s'adresse à vous. Compte tenu de votre expérience et de votre emploi actuel, avez-vous l'impression que les gouvernements font du bon travail pour garantir que les infrastructures essentielles canadiennes résistent aux attaques? À votre avis, y a-t-il des aspects à améliorer?

M. Luc Jarry:

Selon mon expérience, compte tenu du développement de l'Internet des objets, la question ne touche pas seulement le Canada, mais tous les pays du monde. En ce qui concerne les cyberattaques, il s'agit essentiellement de protéger l'information. On cherche à empêcher les vols d'identité, les fraudes, les attaques par déni de service et ce genre de choses. En passant à la connexion des objets, l'aspect physique prend de l'ampleur. C'est ce qui est préoccupant.

En avons-nous fait assez en matière de cybersécurité? Par exemple, dans le cas d'une transaction très délicate ou d'une commande pour fermer une valve donnée, a-t-on recours à une méthode d'authentification, qu'elle soit biométrique ou autre, suffisamment forte? Je ne crois pas que la réponse soit oui. C'est probablement non. Les mesures prises sont insuffisantes. Cela dit, ce n'est pas propre au Canada. La situation est la même partout dans le monde.

Le président:

Merci, monsieur Motz.

Monsieur Dubé, vous avez sept minutes. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Je remercie tous les témoins d'être parmi nous aujourd'hui.

Monsieur Jarry, j'ai une question pour vous.

J'imagine que vous connaissez l'histoire selon laquelle le CRTC a participé à une perquisition, faite par la GRC, chez un individu qui utilisait des logiciels, des « bots », comme on dit en bon français, pour la cryptomonnaie. Tout le monde l'a appris parce que c'était la première fois que l'on avait recours à ces pouvoirs. Ce sont des pouvoirs qui ont été accordés en vertu de la Loi canadienne anti-pourriel.

Cela m'a mené à une réflexion et à une question, et je suis curieux de vous entendre à ce sujet. Si on apporte un changement tant sur le plan législatif que sur le plan réglementaire pour toutes les questions soulevées pendant cette étude, entre autres, comme l'Internet des objets, se tournerait-on vers le CRTC en cas de problème? Serait-on mieux de créer un nouvel organe pour assurer la mise en œuvre de normes pour les appareils, par exemple? Serait-ce quelque chose qui serait examiné autant du point de vue législatif que réglementaire?

M. Luc Jarry:

C'est sûr que, dans le domaine de la télécommunication, le CRTC a un rôle important à jouer, particulièrement dans tout ce qui concerne la sécurité des transmissions électroniques. N'oublions pas le sans-fil. La cybersécurité ne porte pas seulement sur les télécommunications, mais aussi sur la programmation, le développement. On parle aussi de plus en plus de la dimension physique, qui doit être prise en considération.

Selon moi, il devrait y avoir un organisme qui chapeaute toutes ces organisations et qui touchera tous les domaines. Alors, ce n'est pas seulement le CRTC.

M. Matthew Dubé:

Je comprends et je suis du même avis.

Cependant, prenons l'individu chez qui on a fait la perquisition et qui poserait peut-être aussi une menace à la cybersécurité. C'était en lien avec la cryptomonnaie, mais on sait bien que c'est peut-être un individu qui s'était engagé dans d'autres activités connexes. Si on regarde la Loi actuelle, croyez-vous que la GRC ou le CRTC aurait été en mesure de faire quoi que ce soit? A-t-on vraiment besoin d'une mise à jour de la Loi? Comme vous dites, faut-il mieux encadrer qui s'occupe de quoi pour éviter de la confusion?

M. Luc Jarry:

En ce qui a trait au gouvernement, je ne peux vraiment pas répondre à cette question. Par contre, je peux vous dire ce que je vois dans l'industrie. Pendant ma présentation, je mentionnais que, aujourd'hui, ce sont des électromécaniciens qui s'occupent de bon nombre d'équipements. Ces gens n'ont pas reçu de formation en cybersécurité. Pourtant, ils effectuent des branchements directement à Internet.

Pour répondre à votre question, oui, plusieurs choses peuvent être faites. Doit-on créer un corps de police spécialisé ou une équipe d'intervention spécialisée? Peut-être, mais cela touche plusieurs domaines. Encore une fois, la cybersécurité ne s'applique pas seulement aux télécommunications.

(1605)

M. Matthew Dubé:

Messieurs, vous avez beaucoup parlé de la collaboration souhaitée avec Hydro-Québec. Je veux aborder un autre aspect de cette question qui n'a pas été soulevé. Je suis curieux de vous entendre, étant donné le travail que vous faites.

Il y a quelques années, le gouvernement du Québec, l'Union des municipalités du Québec et Hydro-Québec ont indiqué que le réseau de fibres optiques en expansion d'Hydro-Québec, avec les compteurs intelligents, serait peut-être une solution pour offrir la connectivité dans les régions plus éloignées. Que pensez-vous de cela, surtout en ce qui concerne les propositions que vous mettez en avant?

M. Jean Fernand Schiettekatte:

En fait, il y a actuellement des discussions avec Hydro-Québec pour pouvoir utiliser son réseau de fibre noire, mais c'est encore un réseau qui dessert le Sud. Effectivement, cela permettrait d'optimiser le Réseau de communications Eeyou, ou RCE, et d'augmenter la sécurité du côté du Sud, mais cela n'apporte pas de solution dans le Nord.

Nous pensons que cela doit être traité par le Comité, parce que c'est un enjeu très important, actuellement.

M. Matthew Dubé:

Tout à fait; vous l'avez bien expliqué. Cela mène à une autre question.

L'une des préoccupations soulevées relativement à la cybersécurité est l'impact sur notre vie quotidienne, car nous nous servons de plus en plus d'objets qui peuvent être menacés par des atteintes à la cybersécurité.

Quelle est votre réalité, étant donné que vous êtes éloignés physiquement des grands centres? Dans le cas où une attaque de cybersécurité survenait contre notre réseau dans un grand centre, elle causerait une panne et nous aurions énormément de difficultés, mais, au moins, il y a la proximité géographique d'autres communautés et d'autres personnes. Quel impact cela peut-il avoir chez vous?

M. Jean Fernand Schiettekatte:

Je peux répondre de façon indirecte. L'idéal serait le cas de la Suède, où le réseau de fibre noire est installé par le gouvernement. Tous les fournisseurs s'en servent et illuminent la même fibre. En cas de panne, un des fournisseurs sera touché et pas les autres.

Actuellement, notre problème est qu'il y a seulement un fournisseur qui utilise une fibre. L'idée serait d'avoir une stratégie de diversification et c'est ce dont nous discutons avec les gens du gouvernement. Il est question de voir s'il y a moyen que plus d'un fournisseur desserve la région.

M. Matthew Dubé:

C'est parfait.

J'ai fait le tour de mes questions, mais j'aimerais faire écho à ce qu'a dit M. Graham, c'est-à-dire que c'est intéressant d'avoir une solution concrète et tournée vers l'avenir plutôt que de continuellement s'attarder aux menaces dans le présent. C'est important, mais le point de vue que vous présentez est intéressant aussi.

Merci. [Traduction]

Le président:

Monsieur Picard, vous avez sept minutes. [Français]

M. Michel Picard:

Merci, monsieur le président.

Monsieur Jarry, vous dites que vous travaillez aussi pour Cascades.

M. Luc Jarry:

Oui.

M. Michel Picard:

Depuis que les ordinateurs existent et que les compagnies ont des systèmes électroniques, nous avons des départements des technologies de l'information pour s'occuper des logiciels, des mises à jour et des pare-feu, entre autres.

Le fait d'appeler maintenant le département de cybersécurité comme tel vient-il d'un simple changement de nom de ce département ou y a-t-il une dimension différente qui justifie pourquoi on parle maintenant de cybersécurité dans une entreprise privée comme Cascades?

M. Luc Jarry:

Le département des TI est toujours le même. Par contre, il y a maintenant un groupe de cybersécurité associé à la gouvernance qui ne fait pas partie de l'équipe des TI.

M. Michel Picard:

Quel a été le processus par lequel la compagnie a mis sur pied cet élément de cybersécurité? Était-elle préoccupée par son équipement et la crainte qu'il y ait interruption de service ou d'opération de ses machines, ou bien craignait-elle d'être victime d'attaques extérieures mettant en danger ses données administratives?

M. Luc Jarry:

Monsieur, la cybersécurité est basée sur trois piliers, soit la confidentialité, l'intégrité et la disponibilité des informations. Il y a un aspect de conformité, également. D'ailleurs, toutes les entreprises doivent maintenant demeurer conformes. Non pas que je sois âgé, mais je suis expérimenté et j'ai connu le temps où les mesures de cybersécurité étaient reconnues comme des pratiques exemplaires. Toutefois, il s'agissait plutôt de suggestions; elles n'étaient pas obligatoires.

Nous avons maintenant des lois et des règles obligatoires en place. Cascades a été l'une des entreprises, comme bien d'autres, à établir des normes et une politique de sécurité basée sur les normes ISO 27001 et 27003. L'entreprise a établi un groupe de gouvernance et a déployé une politique de sécurité selon ses propres standards, toujours basés sur la confidentialité, l'intégrité et la disponibilité des systèmes.

(1610)

M. Michel Picard:

Justement pour éviter que vous soyez victimes à l'intérieur de votre réseau, comment faites-vous pour garantir que vos fournisseurs répondent aux mêmes standards dans votre écosystème?

M. Luc Jarry:

C'est par demande contractuelle. Nous pouvons demander au fournisseur d'avoir des certifications précises. Par exemple, lorsque nous traitons des renseignements personnels de nos employés, nous exigeons une certification ISO 27018 relative à la protection des renseignements personnels à tous nos fournisseurs. C'est une façon de le faire. Sinon, cela se fait carrément par des obligations ou des normes précises que nous incluons dans nos contrats.

M. Michel Picard:

Ce qui suit peut sembler être une question piège, mais je dois la poser quand même.

Voyons les choses dans l'ordre inverse. Si Cascades était victime d'une attaque extérieure contre ses données, est-ce qu'elle aurait l'obligation de le rapporter à quelqu'un, quelque part, d'une façon ou d'une autre?

M. Luc Jarry:

Cela dépendrait du type d'attaque. Si l'attaque touchait les renseignements personnels, absolument, nous devrions rapporter l'incident.

M. Michel Picard:

D'accord.

Cela se fait à Polytechnique Montréal et à l'Université Ryerson, dont ma collègue a invité un représentant, mais il existe peu d'établissements au Canada, ou de ressources, qui offrent l'expertise pour répondre aux besoins de gestion de nos problèmes de cybersécurité. Les ressources sont limitées et rares. On craint que la qualité de l'expertise, aussi bonne soit-elle, ne soit pas suffisante.

Si l'on compare l'expertise qui se fait ailleurs, et surtout la qualité et la profondeur des attaques qui viennent de l'extérieur, comment estimez-vous le niveau d'expertise et le niveau de la formation offerts au Canada relativement aux menaces externes?

Je ne veux pas faire de publicité ou de marketing, mais, franchement, si on veut améliorer la situation, il faut savoir à quel niveau on se trouve.

M. Luc Jarry:

Vous avez raison. C'est d'ailleurs une inquiétude non seulement sur le plan de l'enseignement, mais partout dans l'industrie. Les ressources expérimentées sont de plus en plus rares.

Je dois dire qu'il y a maintenant de plus en plus de jeunes qui s'intéressent à la cybersécurité. Cependant, c'est un domaine encore en évolution. Les bonnes ressources expérimentées sont excessivement difficiles à trouver.

J'ai mentionné que j'étais chargé de cours. N'oublions pas que cela demande une expertise dans la matière enseignée, mais aussi des techniques d'enseignement. Ce sont deux choses.

M. Michel Picard:

En élaborant sa stratégie de cybersécurité, Cascades craint-elle que les attaques puissent être telles qu'elles pourraient compromettre la survie de l'entreprise? Peut-être qu'on en est pas là non plus?

M. Luc Jarry:

Au cours des dernières années, Cascades a modernisé toutes ses plateformes. Elle a migré sur des plateformes modernes, entre autres, des plateformes SAP, pour ne nommer que celles-là. En ce qui a trait à la disponibilité, lorsque ces systèmes échouent, la période d'intolérance est d'environ deux heures. Cela veut dire que, après deux heures, les usines commencent à fermer et à cesser de fonctionner. Cela est extrêmement coûteux.

Vous avez raison: cela crée une énorme dépendance. Nous traitons cela par des plans de mesures d'urgence et des essais de réconciliation avec des relayages ou des centres de données, mais ce sont aussi des exigences que nous posons à nos fournisseurs de service.

M. Michel Picard:

Compte tenu de la participation de Cascades — qui est aussi fournisseur — à cet écosystème réseautique, est-ce que la connectivité est à ce point sensible qu'un impact chez vous pourrait créer des préjudices comparables pour certains de vos fournisseurs?

Par exemple, quelqu'un pourrait-il compromettre un de vos fournisseurs en utilisant votre système?

(1615)

M. Luc Jarry:

Sur le plan de la connectivité, je dirais que non, pas avec le modèle que nous avons.

Nous avons, en effet, des liens dédiés avec certains de nos fournisseurs, justement parce que nous demandons une fiabilité et une disponibilité élevées. Ce sont des choses dont discutent mes collègues concernant des fibres optiques.

Nous utilisons des protocoles avec différents fournisseurs de services au Canada et aux États-Unis avec des liens MPLS dédiés. Pour d'autres, ce n'est pas nécessaire. Il ne faut pas oublier qu'il y a des niveaux de criticité qui sont associés à nos systèmes: il y a les niveaux « critique », « régulier » et « moyen ». Nous mettons en place les mesures nécessaires pour assurer la disponibilité.

M. Michel Picard:

Je vous remercie.

Le président:

Monsieur Paul-Hus, vous avez cinq minutes.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Ma première question s'adresse aux représentants de Tawich Development Corporation.

Nous avons fait un peu de recherche à votre sujet. Nous avons constaté que vous êtes allés en Chine, récemment, et que vous avez des photos de votre rencontre avec les gens d'Alibaba.

Pouvez-vous nous dire si des ententes ont été conclues avec eux? Si oui, de quel type sont-elles?

M. Jean Fernand Schiettekatte:

Les gens d'Alibaba cherchent à ouvrir des centres de données au Canada. Ils désirent avoir des centres de données qui correspondent aux standards canadiens. En fait, ce sont toutes les transactions entre l'Asie et le Canada qui pourraient passer par une fibre nordique. Cela rend la chose intéressante, parce que cela réduit le temps de latence. Actuellement, Alibaba a ouvert plusieurs centres de données aux États-Unis.

M. Pierre Paul-Hus:

Sur la photo, on voit la nation crie signer une entente avec les Chinois, je crois. Avez-vous signé un protocole d'entente déjà?

M. Jean Fernand Schiettekatte:

Nous avons conclu des ententes, mais elles ne portent pas sur des centres de données. Nous importons du matériel de sécurité pour les mines, des chandails et des choses comme cela.

M. Pierre Paul-Hus:

Il n'y a rien de technologique.

M. Jean Fernand Schiettekatte:

Non.

M. Pierre Paul-Hus:

D'accord.

L'entreprise serait établie au Québec. Avez-vous évalué les retombées économiques pour le Canada ou pour le Québec du projet que vous voulez réaliser?

M. Jean Fernand Schiettekatte:

Nous avons commencé le processus de discussion en vue d'une étude de préfaisabilité, où les retombées économiques seront mieux chiffrées. Nous pensons que les centres de traitement de données bancaires qui viendraient s'installer dans le Nord du Québec généreraient de grandes retombées économiques pour le Québec.

M. Pierre Paul-Hus:

Dans le Nord, il y a déjà le Système d'alerte du Nord, dont la portion canadienne est prise en charge par la Défense nationale, dans le cadre du NORAD. Le lien de télécommunication par fibre optique proposé serait-il relié aux 47 stations radars déjà établies?

M. Jean Fernand Schiettekatte:

C'est un point très intéressant. Je ne l'ai pas mentionné dans notre présentation, qui traite davantage des Premières Nations, mais, effectivement, il serait important de relier les bases militaires canadiennes à ce lien. C'est un aspect qui pourrait être considéré.

M. Scheer veut assurer la sécurité et la représentation du Canada dans le Grand Nord, et nous pensons que cette fibre optique est l'un des outils qui permettraient de le faire.

M. Pierre Paul-Hus:

Parfait, je vous remercie.

Monsieur Jarry, lorsqu'on parle de l'Internet des objets, on parle aussi de la chaîne d'approvisionnement. Mon collègue a posé une question sur la vérification des appareils qui sont achetés. Que pensez-vous de l'entreprise chinoise Huawei?

M. Luc Jarry:

Ce qui est un peu surprenant, au sujet de Huawei, c'est qu'elle fait affaire avec Bell Canada depuis longtemps. On se pose maintenant des questions, surtout parce qu'on a des préoccupations liées à la sécurité et à l'espionnage. Je trouve surprenant qu'une entreprise comme Bell Canada fasse affaire depuis plusieurs années déjà avec Huawei alors que d'autres entreprises ont simplement reculé.

M. Pierre Paul-Hus:

Est-ce le déploiement du réseau 5G qui est problématique? Les anciens appareils étaient différents. Les nouveaux appareils et la technologie 5G peuvent-ils avoir un impact différent?

M. Luc Jarry:

Je suis un retraité de Bell Canada et j'y ai travaillé plusieurs années, mais je n'ai pas participé directement à ce projet. Je peux dire cependant que nous avions des inquiétudes relativement à la sécurité; je parle ici d'espionnage. J'ai été surpris d'apprendre cela.

(1620)

M. Pierre Paul-Hus:

D'accord.

Concernant l'Internet des objets, vous avez parlé de différents contrôles à distance sur des objets. Il s'en trouve sûrement parmi nous qui ont des serrures électroniques contrôlées à distance. Ces objets sont contrôlés par un système domotique résidentiel. L'équipement peut-il être programmé au moment de son installation et être contrôlé plus tard, ou faut-il obligatoirement contrôler le système domotique pour contrôler l'objet?

M. Luc Jarry:

L'un des principaux problèmes que pose l'Internet des objets a trait à la cybersécurité. Lors de la conception et de la fabrication de la plupart des objets qu'on veut connecter à Internet, l'aspect de la cybersécurité n'est pas pris en compte. D'ailleurs, l'une de mes recommandations que j'ai formulées au Comité est justement de voir à cet aspect une fois pour toutes. Maintenant, on doit tenir compte de la cybersécurité lorsqu'on connecte un appareil.

N'oublions pas que les systèmes domotiques ne sont pas nouveaux. Comme je l'ai mentionné, on investit dans ce domaine depuis 15 ou 20 ans. Par contre, ces systèmes étaient sur des réseaux fermés. Maintenant, avec l'intelligence artificielle, on sera capable de prévenir des bris de machinerie dans des usines.

On a parlé tantôt de disponibilité des systèmes chez Cascades. On va pouvoir faire fonctionner les systèmes 24 heures sur 24, 7 jours sur 7, 365 jours par année. On peut prévenir les bris de machinerie à l'aide de l'intelligence artificielle. Maintenant, pour bénéficier de cela, il faut connecter tous les équipements.

N'oublions pas que la majorité des cyberattaques que nous avons subies au Canada et qu'il y a eu partout dans le monde concernaient l'information et les dénis de service. À mesure que l'on connecte des objets, cela devient physique. Maintenant, la question qu'on doit se poser sur le plan de la sécurité est si cela fera partie de l'arsenal militaire des pays. [Traduction]

Le président:

Merci.

Madame Sahota, vous avez cinq minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je cède mon temps de parole à M. Graham. [Français]

M. David de Burgh Graham:

Je vais revenir sur ce qui s'est dit plus tôt au sujet de l'attaque subie par WhatsApp qui a été annoncée hier. Selon les analyses dont nous avons pris connaissance jusqu'à maintenant, il semblerait que des acteurs en lien avec des États soient à l'origine de cette attaque et que le secteur des droits de la personne ait été ciblé.

Selon vous, les plus grandes menaces en matière de cybersécurité viennent-elles du secteur privé ou d'acteurs liés à des gouvernements, à l'échelle mondiale?

M. Luc Jarry:

Vous parlez des vulnérabilités?

M. David de Burgh Graham:

Je parle de l'exploitation des vulnérabilités.

M. Luc Jarry:

À mon avis, un des problèmes concernant la gestion des incidents de sécurité est que les entreprises commencent à communiquer davantage ce genre d'information. Je crois que c'est encore un peu tôt.

Pour répondre à votre question, je pense que c'est un peu de tout présentement.

M. David de Burgh Graham:

Les attaques liées à des États existent et sont assez graves, même si ce ne sont pas les seules. Que pensez-vous du projet KesKuun, dont les autres témoins ont parlé?

M. Luc Jarry:

Je trouve que le projet est intéressant. Il y a un point sur lequel ils ont tout à fait raison, et c'est qu'en matière de cybersécurité, la disponibilité est très importante. À mon avis, il est important que nous conservions une souveraineté au Canada, que nous ayons nos propres fibres pour les télécommunications.

Je viens d'entendre parler de ce projet. Dans une optique de cybersécurité, je suis tout à fait favorable à ce genre de projet et d'approche.

M. David de Burgh Graham:

C'est bon.

Je vais m'adresser aux autres témoins.[Traduction]

Merci.

Je me tourne vers M. Gull pour parler des étapes du projet. Vous avez dit que le projet Quintillion est déjà en service en Alaska. Il est déjà construit là-bas. Quel est le processus de mise en oeuvre?

C'est en Alaska et nous tentons d'établir un réseau qui ne serait pas américain. Pouvez-vous expliquer la situation un peu plus en détail?

M. Sam Gull:

Le réseau de fibre optique qui est connecté est maintenant en service. Lorsque le lien sera construit vers le Japon et vers l'Angleterre, il se trouvera dans les eaux internationales. Deux canalisations seront à l'extérieur des États-Unis. Ce sont ces deux canalisations, dans les eaux internationales, qui nous intéressent. Les États-Unis n'y seront pas connectés.

M. David de Burgh Graham:

Savez-vous quand Quintillion prévoit terminer la construction de la troisième phase?

M. Sam Gull:

Tout dépendra des hivers canadiens. Le passage du Nord-Ouest connaît toujours des périodes de gel. Les responsables du projet s'inquiètent aussi du moment où installer la ligne dans ce passage. C'est pourquoi ce sera la dernière phase. Les eaux sont très peu profondes à certains endroits, sans oublier la présence d'icebergs. Il faut vraiment prendre le temps de faire des études sur cette partie du projet.

(1625)

M. David de Burgh Graham:

Vous avez parlé de connecter le Canada à la ligne Quintillion en passant par la baie James afin d'avoir un réseau pleinement souverain. Y a-t-il une façon de connecter les côtes Ouest et Est également? Pouvons-nous en faire un réseau national plutôt qu'exclusivement international? Avez-vous quelque chose à dire sur le sujet?

M. Jean Fernand Schiettekatte:

Oui, ce serait possible.

Il y a un projet de ligne jusqu'à Yellowknife. Elle pourrait desservir ces régions aussi. C'est pourquoi nous recommandons d'établir une équipe canadienne pour développer ce projet dans le Nord. À mon avis, ce devrait être une recommandation du Comité.

M. David de Burgh Graham:

Il est prioritaire de connecter le Canada à cette ligne.

M. Jean Fernand Schiettekatte:

Oui. La priorité de Tawich est sans conteste le développement du Nord du Québec.

M. David de Burgh Graham:

Je dois vous dire que la priorité du Comité est la cybersécurité. Dans ce contexte, il est fascinant d'avoir cette solution. De plus, elle est présentée par la Première Nation crie. C'est extrêmement intéressant pour nous tous.

Je crois qu'il ne me reste que quelques secondes.

Le président:

Pour laisser du temps à M. Eglinski, il vous faudra être très bref.

M. David de Burgh Graham:

Je vais poser une dernière question à M. Jarry, puis je céderai la parole à M. Eglinski. Je veux parler de la sécurité intégrée à la conception.

M. Luc Jarry:

Quelle est mon opinion de la sécurité intégrée à la conception?

M. David de Burgh Graham:

Oui.

M. Luc Jarry:

Combien de minutes ai-je pour répondre?

Le président:

En fait, le temps est écoulé.

C'est une excellente question. Nous devrons chercher la réponse plus tard.

Passons maintenant à M. Eglinski qui dispose des cinq dernières minutes.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

Je tiens à remercier les témoins d'être ici aujourd'hui.

Je vais d'abord parler de la ligne que vous proposez. Elle traverse l'Extrême-Arctique et rejoint la Chine. Elle passe au Japon? D'accord.

Pourquoi passer par l'Arctique? Pourquoi ne pas avoir traversé le bas de la baie d'Hudson et le Canada? On a beaucoup parlé d'un corridor de transport le long des provinces du Nord et au sud des Territoires du Nord-Ouest. La ligne pourrait passer à cet endroit. Le choix d'aller vers l'Arctique me semble beaucoup plus complexe que de partir du bas de l'Alaska et de suivre les îles Aléoutiennes. C'est la même chose pour le lien vers l'Europe.

Y avait-il une raison qui justifiait le choix d'un tracé beaucoup plus au nord?

M. Jean Fernand Schiettekatte:

Il y avait une raison. Elle devient évidente à bord d'un avion. Tous les vols en provenance de Toronto ou de Montréal vers l'Asie passent par le Nord. La distance est plus courte en passant par le Nord que par le Sud du Canada. C'est ce qui permet de réduire les temps de latence. Il y a une raison d'ordre technique qui est associée à l'analyse de rentabilisation. C'est ainsi qu'on attire des investissements des institutions financières.

C'était la première raison. La deuxième repose évidemment sur le fait que nous nous trouvons dans le Nord. Nous défendons donc le développement de cette région. C'est le mandat de Tawich. C'est dans notre intérêt, mais également dans celui des Canadiens en général, d'autant plus que nos voisins américains souhaitent exercer une souveraineté sur le Nord, comme il a été rapporté dans les médias.

Il est crucial de comprendre que l'établissement de cette ligne entraînerait des développements importants dans le Nord canadien. Si on n'occupe pas le territoire, on risque de perdre la souveraineté sur celui-ci.

M. Jim Eglinski:

Je suis heureux d'entendre de tels propos de la part du milieu des affaires. C'est effectivement un sujet de préoccupations. Notre caucus tient à ce que la souveraineté sur le Nord soit protégée. Merci d'en tenir compte dans votre stratégie.

Vous avez parlé de l'électricité dont vous avez besoin. Je lis que 300 ou 200 mégawatts seront nécessaires. Est-ce pour alimenter l'ensemble de la ligne ou faudra-t-il plus d'électricité au fil du temps? Nous parlons d'une grande distance, de votre région du pays jusqu'à l'extrémité nord.

M. Sam Gull:

L'électricité provenant des barrages de la Grande Rivière servirait surtout à l'alimentation des centres de données. Ce sont les centres de données qui, en raison de leur taille, consomment beaucoup d'énergie. On atteint rapidement les 200 mégawatts dans ce secteur. C'est aussi notre cas même si, dans le Nord, nous disposons de nombreux systèmes de refroidissement naturel, ce qui réduit les coûts d'exploitation. J'ai visité des centres de données dans la Silicon Valley. Leur principal problème est le coût associé au refroidissement des ordinateurs.

(1630)

M. Jim Eglinski:

À la lumière de vos propos, je comprends que les centres de données seront situés sur vos terres territoriales traditionnelles et qu'ils transmettront les données au Canada et ailleurs.

M. Sam Gull:

Oui.

M. Jean Fernand Schiettekatte:

La réponse à votre question est oui. C'est pourquoi il y aura une possibilité de connecter des communautés éloignées qui fourniront de l'électricité pour alimenter les répéteurs. On a établi un plan selon lequel quelques communautés alimentent la ligne dans le Nord canadien. C'est une façon de prévoir l'alimentation. Une base militaire pourrait aussi être responsable de la distribution. C'est un projet très intéressant.

M. Jim Eglinski:

Merci.

Monsieur Jarry, selon votre expérience professionnelle, pensez-vous que les simples utilisateurs des services Internet peuvent se protéger adéquatement? Existe-t-il des logiciels sur le marché qui permettent de protéger son domicile ou ne sont-ils que des produits illusoires qui ne seront probablement pas à la hauteur?

M. Luc Jarry:

La sécurité repose sur deux principaux aspects: la formation et la sensibilisation. J'ai parlé plus tôt du fait que beaucoup de gens acceptent des ententes de confidentialité sans en lire les modalités.

En ce qui concerne votre question précisément, il est tout à fait possible d'améliorer la sécurité à son domicile. Est-ce à dire que ces outils sont infaillibles à 100 %? C'est un peu comme lorsqu'on conduit une voiture. Le fait de porter sa ceinture de sécurité, d'avoir des freins ABS et d'activer les nombreux systèmes de sécurité préviendra probablement les blessures en cas d'accident. Risque-t-on toujours d'avoir un accident? La réponse est oui.

M. Jim Eglinski:

La sécurité dépend de la qualité du service offert aux Canadiens. Nous savons que, dans certaines régions, le service est terrible ou pratiquement pourri. Ailleurs au pays, il est excellent.

Le président:

Merci, monsieur Eglinski.

Avant de vous laisser partir, j'aimerais vous poser une question: d'où provient l'argent qui finance le projet Quintillion?

M. Jean Fernand Schiettekatte:

Selon l'information dont nous disposons — nous ne connaissons pas les responsables —, c'est une entreprise américaine qui appuie le projet.

Le président:

Nous parlons donc d'argent américain et d'une entreprise américaine...

M. Jean Fernand Schiettekatte:

Oui.

Le président:

... et ce sera un projet qui nous permettra de ne pas passer par les États-Unis.

M. Jean Fernand Schiettekatte:

Oui. C'est pourquoi nous aimerions qu'une équipe canadienne soit formée. La communauté crie a une partie des fonds nécessaires, mais elle ne peut pas y arriver seule.

Le président:

Une entité canadienne, que ce soit vous, un autre organisme ou un partenariat, serait-elle propriétaire de la ligne dans la baie James et la baie d'Hudson jusqu'au point de connexion ou jusqu'en Alaska?

M. Jean Fernand Schiettekatte:

Nous aimerions être propriétaires de la ligne jusqu'en Alaska et jusqu'en Europe. En gros, nous voudrions détenir la troisième phase.

Le président:

Quelle est l'importance de se trouver dans les eaux internationales plutôt que nationales? Vous savez que le passage du Nord-Ouest fait l'objet d'un différend. Le Canada considère que le passage est une voie interne. M. Pompeo est d'avis qu'il fait partie des eaux internationales. Quelles seraient les répercussions d'un statut national ou international du passage sur votre projet?

M. Jean Fernand Schiettekatte:

Il s'agit principalement de ne pas être soumis à la Patriot Act et à toutes les lois qui en découlent. Il est préférable d'être hors de la portée de la NSA. À mon avis, les Canadiens devraient être au courant de cette préoccupation. Je pense à l'une des questions posées à M. Jarry. On lui a demandé qui se livre à des activités d'espionnage. C'est une excellente question.

Le président:

Enfin, votre projet est-il soumis à un examen de la sécurité canadien?

M. Jean Fernand Schiettekatte:

Il le serait, oui.

Le président:

Un tel examen a-t-il été lancé?

M. Jean Fernand Schiettekatte:

Non. Nous en sommes encore à l'étape de l'étude. En cherchant dans Internet, on trouvera très peu d'information sur ce que nous faisons. C'est la première fois que nous en parlons publiquement. Nous avons eu quelques conversations avec des intervenants, mais il reste beaucoup de travail à faire.

Le président:

Merci de votre réponse.

Je suis désolé de devoir maintenant interrompre cette discussion très intéressante et très éclairante. Nous allons suspendre nos travaux. Je tiens encore une fois à vous remercier de votre témoignage devant le Comité.

Nous allons suspendre la séance quelques instants avant de poursuivre à huis clos. Merci.

[La séance se poursuit à huis clos.]

Hansard Hansard

Posted at 15:44 on May 15, 2019

This entry has been archived. Comments can no longer be posted.

2019-05-14 RNNR 136 | committee hansard secu | 2019-05-16 INDU 163

(RSS) Website generating code and content © 2001-2020 David Graham <david@davidgraham.ca>, unless otherwise noted. All rights reserved. Comments are © their respective authors.