Télécom - Lettre du Conseil adressée aux diverses parties
Ottawa, le 29 juin 2021
Notre référence : 1011-NOC2021-0009
PAR COURRIEL
À : Saskatchewan Telecommunications, Bragg Communications Inc., Shaw Communications Inc., TekSavvy Solutions Inc., Distributel Communications Limited, Xplornet Communications Inc., Rogers Communications Canada Inc., Bell Canada, Cogeco Connexion Inc., Québecor Média Inc., and TELUS Communications Inc.
Objet : Avis de consultation de Conformité et Enquêtes et de Télécom CRTC 2021-9 – Demande de renseignements
Conformément à la procédure décrite à l’article 5 de l’Appel aux observations – Développement d’un cadre de blocage à l’échelle des réseaux pour limiter le trafic des réseaux de zombies et renforcer la sécurité en ligne des Canadiens - Changements à la procédure, Avis de consultation CRTC 2021-9-1, le 29 juin 2021, vous trouverez ci-joint une demande de renseignements.
Les réponses doivent être déposées auprès du Conseil au plus tard le 29 juillet 2021.
Toutes les parties peuvent déposer des commentaires définitifs en réplique strictement limités aux nouveaux renseignements fournis en réponse à la présente demande de renseignements (DR) d’ici le 12 août 2021. Ces commentaires définitifs en réplique sont limités à cinq pages.
Tel qu’il est énoncé à l’article 39 de la Loi sur les télécommunications et dans le bulletin d’information de radiodiffusion et de télécom CRTC 2010-961, Procédure à suivre pour le dépôt et la demande de communication de renseignements confidentiels dans le cadre d’une instance du Conseil, les personnes peuvent désigner certains renseignements comme étant confidentiels. Toute personne qui désigne des renseignements comme étant confidentiels doit fournir une explication détaillée des raisons pour lesquelles ceux-ci sont désignés comme étant confidentiels et leur divulgation ne serait pas dans l’intérêt public, y compris les raisons pour lesquelles le préjudice direct et précis qui résulterait probablement de la divulgation l’emporterait sur l’intérêt public de la divulgation. En outre, toute personne qui désigne des renseignements comme étant confidentiels doit fournir une version abrégée du document, en omettant uniquement les renseignements désignés comme confidentiels, ou indiquer les raisons pour lesquelles une version abrégée ne peut être fournie.
Veuillez agréer mes salutations distinguées.
Neil Barratt
Directeur - Mise en application du commerce électronique
CRTC
c. c. Liste de distribution de l’avis de consultation 2021-9
Demande de renseignements :
A. Détection
- Quel pourcentage du trafic Internet total de votre réseau attribuez-vous au trafic des réseaux de zombies au cours des cinq dernières années? Si cette mesure n’est pas disponible, quel pourcentage du trafic Internet total de votre réseau attribuez-vous à la communication de logiciels malveillants au cours des cinq dernières années? (Avant d’appliquer tout filtre, s’il y a lieu.)
B. Remédiation (mesures prises après la détection)
Le personnel prend note des efforts entrepris par les fournisseurs de services de télécommunication (FST) pour protéger les consommateurs du trafic malicieux lié aux réseaux zombies – que ce soit par le biais des pratiques actuelles de gestion de leur réseau ou à travers diverses offres de services additionnelles – et les en remercie. Les questions qui suivent n’ont pas pour objet de demander de l’information qui a déjà été fournie par les FST concernant les efforts exposés dans les soumissions. Elles visent plutôt à quantifier l’utilisation de ces pratiques, leur efficacité et leur alignement avec les pratiques exemplaires du Comité consultatif canadien pour la sécurité des télécommunications (CCCST) en matière de sécurité, dans la mesure où elles sont liées à l’activité de blocage du trafic malicieux des réseaux zombies. Compte tenu de la nature spécifique de ces questions, elles seraient probablement mieux traitées par les membres des centres opérationnels de sécurité ou de réseau au sein de chaque FST.
- Filtrez-vous ou bloquez-vous le trafic des réseaux de zombies détectés? Dans l’affirmative, veuillez fournir les renseignements suivants :
- Quand avez-vous commencé à bloquer le trafic des réseaux de zombies?
- Quel est le pourcentage de trafic bloqué par rapport au trafic total au cours des cinq dernières années?
- En ce qui concerne le système utilisé pour bloquer le trafic des réseaux de zombies :
- Utilisez-vous (ou avez-vous utilisé) la liste de blocage d’un tiers? Dans l’affirmative, veuillez indiquer la période pendant laquelle vous avez utilisé ce produit, la raison sociale de ce tiers et le nom du produit. S’il s’agit d’un service payant, indiquez le coût annuel en $ CA.
- Utilisez-vous (ou avez-vous utilisé) un système de blocage exclusif ou interne? Dans l’affirmative, veuillez préciser s’il est utilisé en plus ou à la place de la liste de blocage d’un tiers, et veuillez également indiquer la période pendant laquelle vous avez utilisé ce système.
- Décrivez le fonctionnement de votre système de blocage actuel (A et/ou B ci-dessus, selon le cas) : est-il fondé sur le domaine, l’adresse IP et le port, la signature, etc.?
- Les détails de cette activité de blocage ou de filtrage sont-ils divulgués aux consommateurs (p. ex., affichés sur votre site Web)? Dans l’affirmative, veuillez fournir le lien.
- Recueillez-vous des renseignements personnels dans le cadre de cette activité de blocage? Dans l’affirmative, utilisez-vous ou divulguez-vous ces renseignements à des fins secondaires (p. ex., pour des analyses de marketing)? Veuillez préciser l’objectif et les destinataires.
- Filtrez-vous ou bloquez-vous le trafic, autre que celui des réseaux de zombies, dans le but de gérer le trafic Internet contre les cybermenaces? Dans l’affirmative, dans quelle mesure?
- Les services de blocage ou de filtrage du trafic sont-ils proposés par défaut à tous vos clients, ou font-ils partie d’une option améliorée ou payante?
- Prévenez-vous les clients dont les comptes ou les appareils ont été compromis? Dans l’affirmative, veuillez fournir les renseignements suivants :
- Quand avez-vous commencé ce type de notification?
- Quel est le nombre total de notifications envoyées chaque année au cours des cinq dernières années?
- Comment cette notification est-elle effectuée (p. ex., par courrier électronique, en utilisant la messagerie de l’application du compte de l’utilisateur, dans le jardin fermé ou par téléphone)?
- Après la notification, aidez-vous également les utilisateurs finaux à remédier aux infections? Dans l’affirmative, veuillez indiquer comment cette aide est apportée et le nombre de cas recensés au cours des cinq dernières années.
- Signalez-vous les indicateurs de compromission (IC) des réseaux de zombies aux organismes d’application de la loi (OAL) aux fins d’enquête ou de démantèlement, de votre propre initiative (c.-à-d. autrement qu’en répondant à des ordonnances de production ou à des assignations à comparaître)? Dans l’affirmative, veuillez fournir les renseignements suivants :
- Quel est le nombre de rapports effectués chaque année au cours des cinq dernières années, regroupés par OAL?
- Avez-vous également aidé les OAL en leur fournissant volontairement une assistance technique lors des enquêtes? Dans l’affirmative, veuillez indiquer le nombre de cas au cours des cinq dernières années.
C. Éducation et sensibilisation
- Offrez-vous à vos clients de l’information ou des campagnes d’éducation ou de sensibilisation sur les réseaux de zombies? Dans l’affirmative, veuillez fournir les éléments suivants :
- Copie des documents de ces campagnes de sensibilisation.
- Description de la campagne, y compris les dates d’activité, et la manière dont l’information a été transmise à votre client (p. ex., dépliant par courriel, message sur l’application du compte utilisateur, alerte sur votre site Web ou communications dans les médias traditionnels)
- Diffusez-vous de l’information portant expressément sur les IC des réseaux de zombies avec des tiers (autres que les clients victimes et les OAL) afin de contribuer à la sécurité en général? Dans l’affirmative, veuillez fournir les renseignements suivants :
- Avec qui (p. ex., d’autres FST, le Centre canadien de cybersécurité [CCCS], des registraires de domaines)?
- Comment (p. ex., automatiquement ou manuellement)?
- À quelle fréquence? Donnez un exemple d’IC communiqué au cours de la dernière année avec chaque tiers.
- Participez-vous à des groupes de travail ou à des activités de sensibilisation sur le thème des réseaux de zombies? Dans l’affirmative, veuillez fournir les éléments suivants :
- Les noms, la composition, la fréquence des réunions et toute autre information pertinente sur le mandat et la portée de ces groupes.
- Avez-vous mis en œuvre de nouvelles mesures de protection au cours des cinq dernières années, en fonction des recommandations formulées par ces groupes de travail? Dans l’affirmative, veuillez fournir les éléments suivants :
- Une liste de ces mesures de protection et les endroits où elles ont été recommandées
- Indicateurs chiffrés mesurant la diminution du trafic des réseaux de zombies obtenue grâce à leur mise en œuvre
- Date de modification :