Composer avec le projet de loi C-8

En juin 2025, le gouvernement du Canada a présenté le projet de loi C-8, dont l’appellation officielle est Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, ce qui constitue une étape importante dans la protection des infrastructures essentielles du pays contre les menaces liées à la cybersécurité. Le projet de loi s’appuie sur le cadre stratégique introduit dans le projet de loi C-26 en 2022 et l’élargit, même si le projet de loi C-26 n’a pas été adopté avant la prorogation du Parlement.

Autrement dit, le projet de loi C-8 prévoit un cadre juridique qui exige des exploitants désignés dans des secteurs importants qu’ils améliorent leurs stratégies de cybersécurité, signalent rapidement les incidents et se conforment aux nouvelles normes fédérales visant à renforcer la sécurité nationale.

Cette loi fait ressortir l’importance de la résilience et de la capacité des organisations à répondre aux incidents tout en poursuivant leurs activités, ce qui est une très bonne nouvelle puisque ces aspects constituent un aspect central lorsqu’il est question de cyberrésilience. Cette loi marque un véritable tournant dans la façon dont la cybersécurité sera régie et appliquée au Canada.

Le projet de loi C-8 s’applique aux organisations exerçant des activités dans des secteurs sous réglementation fédérale qui sont essentiels aux infrastructures canadiennes, notamment les secteurs de la télécommunication, des services financiers, de l’énergie, des transports et des systèmes de compensation. Les organisations qui exercent de telles activités sont désignées comme étant des exploitants désignés. D’autres entités pourraient être désignées ainsi par la réglementation ou par arrêté ministériel. La sélection de ces secteurs ne repose pas uniquement sur leur importance économique, mais aussi sur l’incidence qu’ils pourraient avoir sur la sécurité publique et la résilience nationale dans l’éventualité d’un cyberincident.

Voici ce que vous devez savoir et ce que vous devez faire si vous êtes un exploitant désigné :

1. Élaborer un programme obligatoire de cybersécurité

Dans les 90 jours suivant la date à laquelle l’avis est donné, votre organisation doit concevoir et mettre en œuvre un programme de cybersécurité, puis le transmettre au Centre canadien pour la cybersécurité (« CCC ») aux fins d’une révision annuelle.

Les principales composantes d’un programme de cybersécurité sont les suivantes :

• L’identification et l’atténuation des cyberrisques internes et externes
• L’évaluation et la gestion des failles dans les chaînes d’approvisionnement
• Les protocoles de détection, d’endiguement et de résolution des incidents de cybersécurité
• La conservation des données et les politiques d’accès
• Les procédures relatives à la surveillance de la gouvernance et à l’examen périodique, y compris celles liées au conseil d’administration

Astuce : Portez une attention particulière aux risques associés aux tiers et aux chaînes d’approvisionnement, puisqu’ils engendrent des vulnérabilités considérables.

2. Signaler rapidement les cyberincidents

La centralisation des signalements d’incidents et de la surveillance en vertu du CCC constitue l’un des développements les plus importants selon le projet de loi C-8, et consolide ce qui constituait auparavant un contexte réglementaire fragmenté en un cadre fédéral unifié.

Lorsqu’une cyberattaque se produit, vous devez la déclarer au CCC dans les 72 heures suivant un tel incident, tout en veillant au respect des obligations d’information existantes de votre secteur (p. ex., les banques qui suivent la ligne directrice B-13 du Bureau du surintendant des institutions financières [« BSIF »] et les entreprises énergétiques qui rendent des comptes à la Régie canadienne de l’énergie). Vos équipes de soutien informatique, de services juridiques et de conformité pourraient devoir collaborer en raison de cette double exigence.

Astuce : Nouez une relation et communiquez avec le CCC avant qu’un incident ne se produise réellement.

3. Suivre les directives en matière de cybersécurité

En vertu du projet de loi C-8, les ministres peuvent transmettre des directives confidentielles et exécutoires à votre organisation, lesquelles pourraient notamment exiger la mise hors fonction ou la suppression de technologies spécifiques. Le défaut de se conformer à ces directives peut avoir une incidence importante sur vos activités quotidiennes, et aucune indemnité n’est prévue à cet effet; c’est pourquoi vous devez demeurer à l’affût des mandats en évolution et des sanctions potentielles.

Astuce : Tenez-vous au fait de ce qui se passe au sein de votre secteur, consultez vos collègues, et tirez parti des renseignements sur les cybermenaces.

4. Éviter d’importantes sanctions

La non-conformité peut s’avérer coûteuse. Les sociétés pourraient s’exposer à de lourdes sanctions pouvant atteindre 15 millions de dollars par jour – 1 million de dollars par jour pour les particuliers –, avec une responsabilité criminelle potentielle pour entrave ou non-conformité intentionnelle. Les dirigeants pourraient également en assumer la responsabilité personnelle, et les sanctions pourraient être rendues publiques.

Astuce : Vérifiez votre état de préparation en matière de conformité et soyez prêt.

Tout d’abord, évaluez votre programme de cybersécurité existant et identifiez les lacunes. Vous devez entre autres vous pencher sur les aspects suivants :

• Votre organisation est-elle considérée comme étant un « exploitant désigné »? Avez-vous mis en correspondance tous les systèmes, les services et les activités essentiels?
• Votre organisation a-t-elle élaboré un cadre de gouvernance comportant des responsabilités et des rôles clairs et mis en œuvre des procédures afin de respecter les obligations de conformité?
• Votre organisation possède-t-elle la capacité interne de répondre efficacement aux infractions, aux inspections réglementaires, aux audits et aux ordonnances de conformité?
• Vos mesures de cybersécurité tiennent-elles compte des risques internes et externes?
• Les vulnérabilités dans votre chaîne d’approvisionnement ont-elles fait l’objet d’une investigation? Des stratégies robustes de gestion des risques liés aux tiers ont-elles été élaborées?
• Votre référentiel d’informations financières cadre-t-il avec les obligations de double présentation, simplifiant ainsi les processus de divulgation obligatoire ou volontaire des informations?

KPMG soutient les exploitants désignés dans les secteurs essentiels (télécommunication, énergie et services financiers) en harmonisant les programmes de cybersécurité avec les cadres exemplaires, à savoir ceux du National Institute of Standards and Technology (NIST), de l’Organisation internationale de normalisation (« ISO »), de la ligne directrice B-13 du BSIF et de la loi Digital Operational Resilience Act (DORA), permettant ainsi aux organisations de renforcer leur résilience et de se préparer. Les services que nous offrons comprennent les suivants :

• Stratégies de cyberrésilience : Cadres adaptés visant à renforcer la résilience organisationnelle.
• Évaluations de la préparation au respect de la réglementation : Analyse comparative du projet de loi C-8 conçue pour vous guider en matière de conformité et de résilience.
• Gestion des risques liés aux tiers : Gouvernance de l’écosystème des fournisseurs visant à assurer l’intégrité de la chaîne d’approvisionnement.
• Planification des interventions en cas d’incident : Guides, exercices et coordination réglementaire visant à se préparer à des situations concrètes.

Le projet de loi C-8 marque le début d’une nouvelle ère dans le contexte de cybersécurité canadien, et les exploitants désignés jouent un rôle de premier plan. En s’adaptant à ces changements de façon proactive, votre organisation respectera non seulement les exigences légales, mais elle améliorera aussi sa réputation et sa préparation en vue de défis futurs. KPMG s’engage à aider les organisations à composer avec cette transition, et ce, avec clarté, confiance et résilience.