Assemblée nationale du Québec - Retour à l'accueil

Assemblée nationale du Québec - Retour à l'accueil

L'utilisation du calendrier requiert que Javascript soit activé dans votre navigateur.
Pour plus de renseignements

Accueil > Actualités et salle de presse > Conférences et points de presse > Conférence de presse de M. Éric Caire, ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels

Recherche avancée dans la section Actualités et salle de presse

La date de début doit précéder la date de fin.

Conférence de presse de M. Éric Caire, ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels

Annonce en matière de cybersécurité

Version finale

Le vendredi 1 octobre 2021, 9 h 45

Salle Evelyn-Dumas (1.30), édifice Pamphile-Le May

(Neuf heures quarante-six minutes)

Le Modérateur : Alors, bonjour et bienvenue à cette conférence de presse du ministre délégué à la Transformation numérique, M. Éric Caire. Il est accompagné du dirigeant principal de l'information au Secrétariat du Conseil du trésor, M. Pierre Rodrigue. Je vous cède la parole.

M. Caire : Merci beaucoup. Bonjour, tout le monde. Aujourd'hui, d'abord, permettez-moi de souligner qu'en cette première journée du mois d'octobre nous sommes, octobre, le Mois de la sensibilisation à la cybersécurité. Vous savez, les cybermenaces sont un fléau planétaire. Le Québec, évidemment, n'est pas exempt de ça, au contraire, et l'augmentation des cybermenaces est exponentielle, compte tenu de l'augmentation de l'utilisation du numérique, notamment avec le télétravail.

En fait, pour certains experts, les cybermenaces sont la nouvelle pandémie. C'est à ce point-là. Au niveau des activités criminelles, on est même en voie de faire de la cybercriminalité l'activité la plus lucrative devant les autres activités criminelles plus conventionnelles, notamment du fait de la facilité et de la capacité à être anonyme dans la cybercriminalité.

Le gouvernement du Québec, depuis que nous sommes en poste, a posé des gestes importants pour améliorer la cybersécurité de ses systèmes d'information. Le premier geste a été de créer le Centre gouvernemental de cyberdéfense. Ça prenait un centre d'expertise, un vaisseau amiral de la cybersécurité pour être capable de coordonner les efforts de l'ensemble du réseau. Ça a été mis en place en 2019. Le Centre gouvernemental de cyberdéfense est maintenant très opérationnel, et, dans plus circonstances, a été appelé à intervenir. On est en très content.

Maintenant, il manquait aussi une vision plus globale. En 2020, mars 2020, j'ai déposé la première politique de cybersécurité, qui donne cette vision-là, quelles seront les politiques auxquelles le gouvernement va s'astreindre pour assurer la cyberdéfense de ses systèmes.

Dans cette politique de cybersécurité là, un des éléments importants, c'était la relation avec l'écosystème, de travailler avec l'écosystème. Pourquoi? Parce que la cybersécurité, c'est une discipline qui est relativement récente. Même si les technologies de l'information, bon, ça date depuis quelques décennies, mais la cybersécurité, comme discipline, c'est relativement récent, et l'expertise, la vraie expertise... parce qu'il y a ceux qui se disent des experts, mais les vrais experts sont relativement rares. Donc, de travailler avec l'écosystème, c'est la façon d'aller chercher cette expertise-là, d'obtenir cette expertise-là et de permettre au gouvernement du Québec d'être plus performant en matière de cybersécurité.

Ce qui nous amène au sujet d'aujourd'hui, la collaboration avec les hackeurs éthiques. C'est une pratique qui commence à travers le monde. Donc, les exemples, là, de collaborations officielles avec les hackeurs éthiques ne sont pas légion, mais il y en a quelques-uns. Il y a au niveau du gouvernement américain, notamment, du gouvernement français, je pense, où on a ce type de collaborations là. Et le Québec, depuis déjà un certain temps, se penchait sur la façon de le faire.

Je dois dire qu'officieusement depuis deux ans on collabore très bien avec différents groupes de hackeurs éthiques, mais il n'y avait pas cette interface officielle là. Et je pense que le besoin était déjà là, mais ce besoin-là a été exacerbé par les événements récents qu'on connaît tous autour du passeport vaccinal, où un hackeur éthique a eu de la difficulté à entrer en contact, où la communication a été assez difficile avec le gouvernement.

Donc, aujourd'hui, je suis très, très, très heureux de vous présenter le site qui va permettre, en fait, de divulguer des vulnérabilités aux hackeurs. C'est… Oui, allons-y. On va vous… En fait, au fur et à mesure que je vous explique, on va vous le présenter. En fait, c'est un site qui est très simple. D'abord, la première page nous permet de cadrer quels sont les engagements et des hackeurs éthiques et du gouvernement par rapport à ceux qui voudraient divulguer des vulnérabilités. Je souligne au passage, je le fais parce que j'ai fait un peu la blague dans le cas du dossier de Louis en disant : Je ne veux pas le poursuivre, je veux lui donner une job... mais vous remarquerez qu'il y a quand même… dans le haut, il y a un onglet emploi, donc ce n'était pas une blague, c'est vrai. S'il y a des gens qui veulent se joindre à l'équipe de cyberdéfense du gouvernement du Québec, on va leur permettre de postuler parce que, comme je l'ai dit, l'expertise, elle est rare, puis on en a besoin.

Maintenant, pour ceux qui veulent souligner ou divulguer une vulnérabilité, il y a d'abord l'engagement des individus. Ce qu'on demande aux individus, dans le fond, c'est dire : Bien, vous le faites de façon éthique. Vous ne le faites pas en échange d'une contrepartie. Vous vous engagez, effectivement, à être éthiques, à savoir : Vous n'avez pas volé des informations que vous gardez par-devers vous. Vous vous êtes fait pogner, ça fait que là vous allez sur le site pour faire une divulgation pour éviter les conséquences. Non, ça ne marche pas comme ça.

Donc, il y a un certain nombre d'engagements que le hackeur éthique doit prendre, au moment de faire sa divulgation, qui nous assurent, puis qui n'ont aucun autre but que de nous assurer que c'est bel et bien un hackeur éthique et qu'il le fait pour les bonnes raisons, qu'il s'engage notamment à ne pas divulguer la faille, la vulnérabilité. Pour le reste, il fera ce qu'il veut, mais sur la vulnérabilité, évidemment, l'idée ce n'est pas de publiciser le fait qu'il y a des failles dans notre défense.

Le gouvernement, en contrepartie, s'engage à quoi? Essentiellement, deux choses qui sont ce que les hackeurs éthiques nous demandaient. D'abord, leur garantir, et donc c'est une garantie formelle, que le gouvernement ne prendra aucune action en justice, n'intentera pas de poursuite, ne déclenchera pas d'enquête à leur endroit. C'était un peu la base du litige, là, des événements que vous connaissez. Et on s'engage aussi à établir une communication ouverte. On veut discuter avec eux. On veut échanger avec eux. On veut trouver des solutions avec eux. Et ça, c'est la base de l'engagement du gouvernement.

Bon, une fois que ça est dit, que tout le monde est bien conscient dans quel cadre on agit, qu'est-ce qui se passe? Alors là, on va demander au hackeur… je ne sais pas si on peut aller sur la page de la… là, vous avez toute la série — je vais vous laisser en prendre connaissance, là — les situations qui ne sont pas des vulnérabilités, là. Tu sais, si vous me trouvez une vulnérabilité pour un système qui est désuet, bien, oui, mais, tu sais, il est désuet, tu sais, la réalité, c'est que la politique du gouvernement c'est de travailler avec des logiciels qui sont mis à jour. Donc, ce qu'il faut corriger, ce n'est pas la vulnérabilité d'un système désuet, c'est de faire la mise à jour du système en question. Donc, vous comprendrez qu'il y a certaines situations que nous ne considérons pas comme des vulnérabilités. Elles sont expliquées.

Après ça, ça nous conduit au formulaire de divulgation, essentiellement, deux choses. D'abord, où est-ce que vous avez trouvé la vulnérabilité? Puis quel est le type de vulnérabilité que vous avez trouvée? Donc, c'est un… c'est le produit, évidemment, c'est de saisi, le type, c'est une liste déroulante, là, il y a plusieurs types qui sont déjà paramétrés. Donc, essentiellement, c'est ce qu'on va demander de base.

Ce qu'on peut faire aussi, c'est la preuve de concept. Qu'est-ce qu'on veut dire par la preuve de concept, c'est : Comment vous l'avez trouvée, la vulnérabilité? Comment vous avez réussi à trouver la faille? Comment vous avez réussi à vous introduire dans le système? Donnez-nous la recette que vous avez utilisée parce que nous, dans nos recherches, puis dans notre protocole de correction, ça va nous aider à corriger la vulnérabilité et à faire en sorte que le système va être mieux cyberprotégé.

Donc, vous remarquerez que, jusqu'à date, on ne demande pas à personne comment il s'appelle, puis c'est quoi leur numéro de téléphone. Il y a une vulnérabilité. Quel est le type? C'est où que vous l'avez trouvée? Puis comment vous l'avez trouvée?

Ensuite, bien là, on va faire ce qu'on appelle l'évaluation CVSS, c'est-à-dire on va établir c'est quoi, le niveau critique de la vulnérabilité. Parce qu'il y a des vulnérabilités qui sont, oui, elles sont là mais ce n'est pas dramatique, là, ça ne met pas en péril le système. Par contre il y en a d'autres qui peuvent être extrêmement critiques, puis ça, ça amène une action-réaction, là, il faut agir dans les minutes qui suivent, là, parce que ça met à risque, par exemple, les renseignements personnels. Si ça menace des renseignements personnels, c'est effectivement quelque chose qui va être critique pour lequel il doit y avoir une réaction immédiate. Donc, ce n'est pas obligatoire, mais on demande au hackeur éthique de nous faire son évaluation du niveau de criticité de la faille.

Ensuite, il y a un certain nombre d'autorisations qui sont demandées. Et c'est là où, selon les autorisations qui sont demandées, le hackeur peut ou non nous donner son nom, la façon de le rejoindre, peut utiliser un pseudo, peut utiliser un pseudonyme, s'il ne veut pas se nommer. Il peut utiliser un pseudonyme, il n'y a pas de problème, s'il ne veut pas qu'on le rejoigne du tout, c'est correct aussi, on n'entrera pas en contact avec lui. S'il voulait juste faire son signalement puis retourner dans l'ombre, c'est parfait, ça nous convient. Et là, bien, évidemment, bon, s'assurer qu'on n'est pas victime d'application, là, le fameux captcha, là, qui est assez de base, il me semble, sur les sites aujourd'hui.

Une fois que le hackeur a soumis la vulnérabilité, qu'est-ce qui se passe? On va générer un fichier. Le fichier est encrypté parce qu'il faut comprendre que le site, il est sécurisé, donc le fichier est encrypté. Il est reçu au Centre gouvernemental de cyberdéfense, et là, le Centre gouvernemental de cyberdéfense, rapidement, doit procéder à sa propre évaluation.

D'abord, il va aller vérifier en fonction des informations qui lui sont données est-ce qu'effectivement, sur le site dit, je retrouve, selon le protocole qui nous a été transmis, le type de vulnérabilité qui nous a été indiqué. Donc, il faut quand même valider l'information. Après ça, le Centre gouvernemental de cyberdéfense va faire lui aussi son évaluation du niveau de criticité, on va attester de la criticité ou non de ce que le hackeur nous a soumis.

Ensuite, tout ça est transféré évidemment à l'organisme concerné. Et là, le dirigeant principal de l'information, à travers les pouvoirs que le projet de loi n° 95 lui donne maintenant, a mis en place au moment, où on se parle, des protocoles : donc, si c'est très critique, voici ce que vous devez faire, si c'est moyennement critique, voici ce que vous devez faire. Il y a un temps-réponse, il y a un temps de correction qui est prévu et les ministères seront astreints à respecter ces procédures standard là dont on s'est doté en même temps qu'on a élaboré le site.

Et nous, l'engagement qu'on a, c'est évidemment par rapport au hackeur éthique qui aura accepté qu'on communique avec lui. D'abord, on va lui faire un accusé réception de la vulnérabilité, ensuite on va lui indiquer quels sont les échéanciers qui sont prescrits pour le type de vulnérabilité qu'il a découverte… une… oui, découverte. Et, après ça, on fait un suivi avec lui de la façon dont on traite la vulnérabilité qui a été découverte et des correctifs qui sont appliqués. On ne le garde pas dans l'ombre, on le garde informé de ce qu'on fait.

Donc, essentiellement, aujourd'hui, c'est ce que j'avais à vous présenter. Ce site-là nous place dans les précurseurs au Canada très certainement. À ce jour, là, je n'ai pas connaissance qu'il y a une autre province canadienne qui offre ce type d'interface là aux hackeurs éthiques, donc on est très contents. Je dois vous dire, évidemment, qu'hier en fin de journée, en primeur, les hackeurs éthiques qui ont collaboré avec nous initialement, parce que ce processus-là s'est fait en collaboration avec les hackeurs éthiques depuis sa genèse... mais hier, ils ont eu une présentation spéciale, et les hackeurs à qui ont l'a présenté se sont dit bien satisfaits de ce qu'on mettait en ligne aujourd'hui.

Donc, là-dessus, j'attends vos questions s'il y en a.

Le Modérateur : Bien, nous en sommes maintenant à la période de questions. Et comme nous ne sommes pas très nombreux, je pense, ça va aller de façon très conviviale. Alors, M. Lacroix. Et si vous me permettez, M. Lacroix, je vais aussi peut-être en poser quelques-unes.

M. Caire : D'après moi, même s'il ne le permet pas, vous allez le faire.

Des voix :

M. Lacroix (Louis) : Vous avez dit, en début de présentation, qu'à plusieurs circonstances on a été appelé à intervenir. Vous parliez du centre de cybersécurité.

M. Caire : Oui.

M. Lacroix (Louis) : À combien d'occasions? Et quel genre d'attaque… Il y a eu combien d'attaques, par exemple, contre les systèmes du gouvernement au cours, mettons, de la dernière année? C'est quoi, les statistiques?

M. Caire : Je ne sais pas. Là-dessus, je vais laisser, malgré ces menaces, je vais laisser mon DP. Je n'ai pas la stat, là, du nombre de… Bien, écoutez, je peux donner une partie de réponse, puis je vais laisser M. Rodrigue préciser.

En fait, on a tout type d'attaque. On a des attaques en déni de service. Qu'est-ce que ça veut dire? Ça veut dire qu'on fait des requêtes, des requêtes, des requêtes jusqu'à ce que le système plante. Bon, ça, on a des protections contre ça. Notamment, quand le premier ministre a demandé à la fonction publique d'aller en télétravail, il faut comprendre qu'on n'avait pas les infrastructures, là, pour permettre à 65 818 fonctionnaires d'être en télétravail. On avait la capacité d'en mettre 750 en télétravail, là. Ça fait que vous comprendrez que ça veut dire d'augmenter la bande passante, d'aller chercher des sondes qui nous protègent. En tout cas, bref, ça, c'est un type d'attaque. Les rançongiciels à travers des courriels, le virus Emotet, notamment, a été utilisé contre des organisations du gouvernement du Québec. Donc, c'est, je vous dirais, c'est une pluralité, là, d'attaques qui ont été orchestrées contre le gouvernement du Québec.

M. Lacroix (Louis) : Mais est-ce qu'on a une idée du nombre d'attaques?

M. Caire : Bien, là-dessus, je vais laisser M. Rodrigue, là, si on a le chiffre.

M. Rodrigue (Pierre E.) : Oui. Bonjour. En fait, on ne divulgue pas le nombre pour des raisons de sécurité. Oui, on les connaît, ils sont identifiés. Il y a les attaques qui réussissent, qui sont quand même relativement peu nombreuses, et on peut dire qu'au gouvernement du Québec, avec les mécanismes qu'on a, on ne peut pas dire qu'on a eu actuellement, là, d'attaques qui ont donné des résultats préjudiciables aux actifs du gouvernement, là. Alors, c'est... puis il y a en, évidemment, des milliers par année qui... Nos sites sont constamment attaqués, là, mais les mesures de protection qu'on a mises en place donnent des bons résultats. Mais, effectivement, on les connaît, elles sont identifiées, mais pour des raisons de sécurité, évidemment, on ne divulgue pas ce nombre-là.

M. Lacroix (Louis) : Il y a en combien, en ce moment, des hackeurs éthiques qui travaillent pour le gouvernement?

M. Caire : Hier, on avait... bien, je ne vous dis pas que c'est la totalité, là, mais hier on avait huit invités, là, qui étaient à notre présentation.

M. Lacroix (Louis) : Des gens que vous payez, là, qui sont à l'emploi du...

M. Caire : Non, non, non, pas du tout, pas du tout. Ça, il faut comprendre, là, que ceux qui ont collaboré avec nous depuis le début le font à titre gracieux, et on les en remercie. Mais il y en a un petit peu plus que ça, là, tous ceux qui ont été invités n'étaient pas présents hier, là. Je ne pourrais pas vous dire, parce que c'est un nombre qui est en mouvance, là, il y en a qui viennent, il y en a qui repartent, là. Mais je vous dirais, des plus steady, là, une douzaine, oui.

M. Lacroix (Louis) : Une douzaine qui travaillent.

M. Caire : Oui.

M. Lacroix (Louis) : O.K.

M. Caire : Qui sont vraiment des réguliers, si vous me passez l'expression, là.

M. Lacroix (Louis) : Et c'est quoi, leur motivation? C'est vraiment d'aider le gouvernement ou c'est un défi?

M. Caire : Bien, c'est certainement un défi, mais je pense qu'ultimement ils le font pour aider le gouvernement. C'est des gens qui sont bien intentionnés puis qui comprennent que, quand le gouvernement... quand une attaque réussit contre le gouvernement, bien, c'est l'ensemble de la société qui doit payer pour ça, là. Alors, je pense qu'ils y voient aussi un intérêt comme bons citoyens.

M. Lacroix (Louis) : Je vais vous amener sur un autre sujet. Vous avez peut-être vu ce matin le rapport de la coroner Kamel sur le décès de Joyce Echaquan. Et elle dit qu'il... Sa première recommandation, c'est de reconnaître le racisme systémique. Je vais citer un bout du rapport. Elle dit : «Le courage des mots visant à pacifier nos rapports avec l'autre est crucial. Il faut avoir une ferme volonté de nommer sans faire de cosmétique autour d'un principe pourtant si limpide : le droit de tous à la bienveillance et à vivre dans une société libre et démocratique en ayant l'espoir que tout être humain mérite les mêmes services avec dignité et respect et, surtout, mérite de vivre.» Et elle dit que, dans le rapport, c'est une évidence que le racisme systémique existe, il faudrait que le gouvernement le reconnaisse.

M. Caire : Bien, je ne partage pas...

M. Lacroix (Louis) : Qu'est-ce que vous pensez de ça? En tant que membre du Conseil des ministres, est-ce que vous croyez que le racisme systémique existe au Québec?

M. Caire : Non. Je ne suis pas d'accord avec sa conclusion. Je suis d'accord avec les fondamentaux de son analyse, je pense, effectivement, que le Québec, comme toutes les nations du monde, on a besoin de poser des gestes forts, des gestes de réconciliation, des gestes de reconnaissance envers les Premières Nations, qu'il faut les traiter avec respect, dignité, d'égal à égal. J'ai eu l'occasion d'en discuter à l'époque avec Konrad Sioui notamment, là, qui était au conseil des Hurons-Wendat, pour qui j'ai un immense respect.

Ceci étant dit, là où je ne suis pas d'accord, c'est quand on me dit que le racisme systémique est un concept limpide. Moi, quand j'écoute mon collègue de Jacques-Cartier, M. Kelly, lui semble penser que le racisme systémique, ça inclut la loi n° 21, ça inclut la loi 101, ça inclut la refonte de la loi 101 qui est le projet de loi n° 96. Alors, je serais curieux, là, de… Je pense qu'il n'y a pas… Il y a autant de définitions du racisme systémique qu'il y a de tenants du racisme systémique.

Puis moi, au contraire, je dirais que ce qui va être fondamental dans la réconciliation avec les peuples autochtones, c'est pas mal plus le respect qui leur est dû, la reconnaissance qui leur est due et la façon dont on va traiter de nation à nation avec un objectif de réconciliation. Ça, pour moi, je pense que... pas mal plus que de faire une guerre de mots. Donc, il y a du racisme, c'est clair, il faut que ça arrête, c'est clair, il faut qu'on s'assure que ça arrête, c'est clair, les nations autochtones ont été victimes de ça, c'est clair, et il faut y mettre fin.

M. Lacroix (Louis) : Mais quand un État, par exemple, adopte une loi qui s'appelle la Loi sur les Indiens, qui est une loi d'assimilation à sa face même, c'est écrit dedans, et que l'État autorise des pensionnats pour amener des enfants autochtones, leur faire perdre leur culture, leur faire perdre leur langue et les assimiler à la population blanche, ce n'est pas un système, ça, qui est instauré, à ce moment-là, pour se débarrasser d'une ethnie, d'une culture, de… Il y a même le mot «génocide culturel» qui a été employé à plusieurs reprises. Ça, ce n'est pas un système?

M. Caire : J'entends tout ça. Mais la question, c'est, aujourd'hui, là, en 2021, à l'aube de 2022, quel est l'état de la situation? Qu'est-ce qui se produit? Est-ce qu'on n'est pas aujourd'hui dans un autre univers que celui que vous me décrivez? Alors… Et, si on veut régler le problème, bien, encore faut-il avoir une lecture actuelle du problème. Il ne faut pas nier le problème, mais il faut garder une vision actuelle du problème. Il y a un problème. Il y a un problème de racisme. On l'a vu, Mme Echaquan a été clairement victime de cette odieuse façon de faire. Mais est-ce que, si on veut avancer, est-ce qu'on n'est pas... est-ce qu'on ne devrait pas d'abord faire une lecture actualisée de la situation?

Alors, ce que vous me décrivez a été exact, mais, pour une partie, ça ne l'est plus. Et donc on...

M. Lacroix (Louis) : Donc, pour vous, ça a existé, mais ça n'existe plus.

M. Caire : Bien, les pensionnats autochtones, ça a existé, là. Je veux dire, je ne vais pas nier l'évidence, là, ça a existé, c'est clair. Mais, tu sais...

M. Lacroix (Louis) : ...je parle du racisme systémique. Il a déjà existé, mais il n'existe plus. C'est ça?

M. Caire : Non, ce n'est pas ce que j'ai dit. J'ai dit que les pensionnats autochtones, ça a existé. J'ai dit qu'aujourd'hui la société évolue. Je pense qu'elle évolue dans le bon sens. Je pense qu'il y a une volonté claire, ferme du gouvernement du Québec. Puis sérieusement, là, je vais laisser le gouvernement fédéral répondre de ses actes. Mais il y a une volonté claire et ferme du gouvernement du Québec d'aller dans une situation de réconciliation. Mon collègue Ian Lafrenière est dédié à cette tâche-là, et tout le gouvernement est derrière lui.

Alors, à partir de maintenant, moi, je dis : c'est quoi, la situation actuelle? Actuellement, il n'y a pas, au Québec, de racisme systémique. Il y a du racisme, il faut le combattre, mais il n'y a pas de racisme systémique.

M. Bergeron (Patrice) : Est-ce que vous me permettez une question? Concernant le sujet du jour, dites-moi, vous avez parlé, donc, de menaces.

Est-ce que, dans le contexte des relations assez délicates du Canada avec, par exemple, la Chine, est-ce qu'il y a des menaces étatiques, par exemple, venant de gouvernements comme la Chine ou, par exemple, la Russie sur les systèmes informatiques du gouvernement du Québec?

M. Caire : Écoutez, là, je vais réfléchir à ma réponse parce qu'elle a, vous comprendrez, des incidences assez importantes. Il est clair qu'il y a dans le monde des groupes bien organisés, bien financés, de hackeurs et que ces groupes-là sont financés et organisés par le biais d'États. Il y a des États qui sont derrière ces organisations-là.

M. Bergeron (Patrice) : Et qui nous ciblent.

M. Caire : Et qui nous ciblent.

M. Bergeron (Patrice) : Mais vous ne voulez pas nommer quels États il s'agit.

M. Caire : C'est ça. Il y en a.

M. Bergeron (Patrice) : Et il y en a plusieurs.

M. Caire : Il y en a plusieurs.

M. Bergeron (Patrice) : O.K. Et ça arrive régulièrement que les systèmes du gouvernement sont menacés ou testés, quoi?

M. Caire : Bien, écoutez, là, je ne veux pas... je ne suis pas sûr qu'on a une ventilation du nombre d'attaques par groupes de hackeurs, là, mais ça arrive. Oui, ça arrive. Ça arrive. Puis il y a des ministères qui sont particulièrement ciblés.

M. Bergeron (Patrice) : Vous avez évoqué le défi du télétravail parce qu'on a mis tout à coup une masse importante de fonctionnaires en position de télétravail pour le gouvernement du Québec, et vous avez dû rehausser, donc, les niveaux de sécurité.

M. Caire : Oui

M. Bergeron (Patrice) : Est-ce que, par contre, ça rend les systèmes du gouvernement, même en dépit de ce rehaussement de sécurité, ça rend les systèmes du gouvernement plus vulnérables?

M. Caire : C'est-à-dire que si on ne met pas en place… la réponse à votre question, c'est oui, si on ne met pas en place les bonnes mesures. Je vous donne un exemple très concret de ce que je veux dire. Un des types d'attaque le plus courant, ce n'est pas nécessairement d'attaquer le système lui-même, parce que généralement les systèmes vont être bien protégés, donc, c'est d'attaquer l'utilisateur du système. Et c'est la raison pour laquelle, avec le Centre gouvernemental de cyberdéfense, on a procédé à une assez vaste campagne d'hameçonnage de nos propres fonctionnaires. On a mis en place, avec l'Académie de transformation numérique, quatre formations, justement, pour sensibiliser les fonctionnaires à ces types d'attaques là parce que, puis ça fait partie de la politique de cybersécurité, là, c'est clairement identifié qu'un employé qui n'est pas sensibilisé, qui n'est pas bien formé, c'est un maillon faible. Un employé qui est bien formé, qui est sensibilisé, ça devient un rempart. Donc, on a travaillé là-dessus dans les dernières années. On a un taux de participation, je n'ai pas les derniers chiffres, là, ça, je pense qu'on peut le communiquer, là, de ceux qui ont suivi ces formations-là, mais on est pas mal, là, à maturité de ce qu'on voulait en termes de formation. Je ne vous donnerai évidemment pas les résultats de la campagne d'hameçonnage pour des raisons assez évidentes. Ceci étant dit, je peux vous dire que le nombre de gens qui sont tombés dans le piège, il est étonnamment faible, étonnamment faible. On est vraiment très, très, très satisfait de la réaction de nos fonctionnaires.

Donc, je reviens à votre question. Dans ce contexte-là, non, l'augmentation du télétravail ne s'est… aurait pu, mais ne s'est pas avérée être une diminution de notre capacité à nous défendre.

M. Bergeron (Patrice) : Comme il s'agit d'un sujet très pointu, mais qui touche quand même beaucoup, beaucoup de monde, là, un hackeur éthique, là, est-ce qu'on ne pourrait pas dire que c'est un genre de... un cyberpirate bienveillant ou comment… parce que je cherche une façon de…

M. Caire : Oui. Oui, oui, effectivement, c'est un cyberpirate bienveillant.

M. Bergeron (Patrice) : …pour que ce soit compréhensible pour la majorité de M. et Mme Tout-le-monde, là.

M. Caire : Oui, oui, c'est un cyberpirate bienveillant. C'est un cyberpirate qui se comporte comme un bon citoyen.

M. Lacroix (Louis) : C'est quoi, l'intérêt de pays, par exemple, que vous ne voulez pas nommer... je prends un pays fictif, là.

M. Caire : Oui

M. Lacroix (Louis) : Ça serait quoi, l'intérêt de la Chine de hacker les systèmes du gouvernement du Québec?

M. Caire : Eh boboy! Non, mais j'ai plusieurs exemples en tête, là. Je vais vous en donner un. Vous savez, au Québec, on a un très grand territoire avec une densité de population assez faible. Puis il faut comprendre que les investisseurs chinois, il n'y a pas beaucoup de raisons pour lesquelles un investisseur chinois peut sortir des capitaux de la Chine. Un des secteurs d'investissement pour lesquels c'est permis, c'est l'acquisition de terres.

Donc, il pourrait, dans votre exemple totalement hypothétique, là, il pourrait y avoir un intérêt d'avoir des informations privilégiées sur l'état de situation des terres au Québec dans une politique d'accaparement des terres. Il pourrait, mais c'est totalement hypothétique, là. Et donc, les ministères concernés pourraient devenir des sources d'information intéressantes.

Il pourrait y avoir un intérêt pour la recherche. Alors, quels sont les domaines… Puis il faut comprendre que le Québec jouit d'une particularité qui le rend particulièrement attrayant. D'une part, le fait qu'on soit francophones fait en sorte que nos citoyens consomment les services du Québec. Donc, les données qui sont générées sont générées à l'intérieur du périmètre québécois, contrairement à un Américain, par exemple, qui peut se promener partout au pays, puis pour consommer ses services. Donc, ça, ça amène un volume de données sur une population bien définie, 8,5 millions d'habitants, qui est très intéressante en termes d'échantillonnage.

En plus, on offre plusieurs services publics à travers l'État, notamment les services de santé. Et, du fait qu'ils sont sans paiement à l'utilisateur, bien, ça fait qu'il y a un volume d'informations très important qui est généré, par exemple, par le réseau de la santé et par notre réseau de l'éducation, par notre ministère des Transports, etc.

Donc, ça fait du Québec une banque de données qui est extrêmement intéressante parce qu'on a un échantillonnage qui est significatif, de toutes les sphères, de toutes les couches sociales, de toutes les tranches d'âge, de tous les niveaux d'éducation, dans des secteurs d'utilisation des services où le Québécois va consommer à l'intérieur de son système. Et donc, ça génère une banque de données qui est extrêmement intéressante pour, notamment, les milieux de recherche.

M. Lacroix (Louis) : Ça coûte combien toutes ces attaques-là? Est-ce qu'on est capables de chiffrer combien ça coûte à l'État, se défendre puis les conséquences de tout ça?

M. Caire : Écoutez, je mets un bémol à mon chiffre. Ce que j'ai lu, puis je pourrai confirmer l'information, c'est que ça serait environ 2,8 à 3 millions, une attaque réussie.

M. Lacroix (Louis) : Chaque attaque?

M. Caire : Oui. À peu près, en moyenne.

M. Lacroix (Louis) : Chaque attaque coûte…

M. Caire : Mais c'est un chiffre qui n'est pas québécois, là, c'est un chiffre qui est planétaire. Donc, on n'a pas la moyenne au Québec, mais ce qui a été évalué de… puis, encore là, comme je vous dis, là, je veux juste vérifier mon chiffre, là, mais ce que j'ai lu, ce serait entre 2,8 et 3 millions, en moyenne.

Une voix :

M. Lacroix (Louis) : Pardon? Je n'ai pas compris.

M. Caire : Parce que M. Rodrigue dit, à raison, c'est du cas par cas, comme c'est la STM, là, qui… ça a coûté…

Une voix :...

M. Caire : Place 0-5, oui, ça a été plus élevé que ça, les montants, là, mais en moyenne, on parle de… Parce qu'il faut comprendre, là, que le chiffre que je vous donne, c'est la petite entreprise aussi, là, tu sais, il y a des attaques dans la petite entreprise, ça va coûter… la rançon va être de 15 000 $.

Ceci étant dit, ce qui est intéressant, c'est que le rançongiciel n'est pas le type d'attaque le plus fréquent. Le type d'attaque le plus fréquent, c'est la fraude au vol d'identité. Ça, c'est le type d'attaque… 47 % des attaques, des fraudes, des cyberfraudes, c'est de la fraude à l'identité, 21 %, c'est les rançongiciels. Donc, on parle beaucoup des rançongiciels, mais il faut comprendre que ce qui fait le plus mal puis ce qui coûte le plus cher, c'est encore le vol d'identité.

Le Modérateur : Est-ce que nous en sommes maintenant à la partie anglaise de la conférence de presse? Ça vous ça, M. Lacroix?

M. Lacroix (Louis) : Ça me va, merci.

Le Modérateur : Mme Raquel Fletcher de Global.

Mme Fletcher (Raquel) : Good morning. I also have a number of questions that you've kind of touched on in French, but, for our English viewers, at the very beginning of the conference, you said cyberthreats are the new pandemic.

M. Caire : Yes.

Mme Fletcher (Raquel) : Is that an exaggeration?

M. Caire : No, it's not. No, it's not. It's not my word, I read it in a newspaper, and a lot of experts are considering cyberattack as the new pandemic.

Mme Fletcher (Raquel) : And why is that? Can you just qualify the scope of the… qualify the problem of what… Paint us a picture of what's happening.

M. Caire : Yes. Well, because, first of all, it's easy to do. You know, a few years ago, cyberattack was perpetrated by expert in that matter of IT. But now, anyone who has a minimal level of skill could buy a ransomware and use it and spread it anywhere, because digital worm make you able to communicate, to send an email, send a «texto» to anyone, to… anywhere. So it's easy to do and it's, you know, «payant», profitable, it's profitable and that's the reason why more and more people doing so.

Mme Fletcher (Raquel) : Mr. Audrey, I think?

M. Caire : Rodrigue.

Mme Fletcher (Raquel) : Rodrigue, désolée, est-ce que vous parlez anglais aussi?

M. Rodrigue (Pierre E.) : Quite so.

Mme Fletcher (Raquel) : A little bit, O.K. You said that the Government's sites and systems are constantly being attacked, can you elaborate on that?

M. Rodrigue (Pierre E.) : Yes, it's… as the others…

M. Caire : …about the curve.

M. Rodrigue (Pierre E.) :

M. Caire : Talk to us about the curve.

M. Rodrigue (Pierre E.) : No. It's a joke.

Mme Fletcher (Raquel) : What is the curve?

M. Rodrigue (Pierre E.) : No, no, it's an inside joke between the Minister and me. Our systems are attacked by cyber pirates, as any systems in the world. It's normal because we are exposed all over the world with Internet. So, it's quite normal to have some… those attacks to our systems.

Mme Fletcher (Raquel) : But you wouldn't say how many attacks are successful?

M. Rodrigue (Pierre E.) : No.

Mme Fletcher (Raquel) : OK.

M. Rodrigue (Pierre E.) : Secret information.

Mme Fletcher (Raquel) : OK. Minister, you said there are about 10 ethical hackers who are working with you, out of the goodness of their heart, why not put these people on the payroll?

M. Caire : Oh! Because we don't put that system in place right now, but we're working on it. But, you know, it's quite different to have bugs bonus, than what we showed you today. We had to put in place legal environment, we have to determine how much money we paid for which kind of a bug they find. We have to put in place a secure environment because we want to work with ethical hackers, but not with the other hackers that are not ethical. So, it's quite more complicated to put in place, but we're working on it and it's a question of time.

Mme Fletcher (Raquel) : So, the people who are signaling on this Web site will not be paid, they shouldn't expect any sort of compensation?

M. Caire : No, no. If you look at the engagement, this is one of the engagements, they do it for the community, not for the profit.

Mme Fletcher (Raquel) : I also wanted to follow up on the coroner's report concerning Joyce Echaquan, what is your reaction to that report this morning?

M. Caire : Well, we agree that we have to move toward indigenous nation, it's obvious for us, and that we have to work on the reconciliation, yes, but there is no systemic racism in Québec. The system we put in place is not racist itself, people are, but not the system.

Mme Fletcher (Raquel) : But more specifically, concerning Joyce Echaquan and the experience that she faced in the hospital in Joliette, what is your reaction to the specific recommendations of the coroner?

M. Caire : Well, as my colleague, I found it unacceptable, and that kind of matter couldn't be repeated, never ever. And my colleague, Ian Lafrenière... we're working on it, working to work with First Nations and work on the fact that we have to move towards each other. We have to listen up. We have to find a path to live together in the same territory. There is no other choice than working together, and we are really «conscient» of that, we're working on it, but it doesn't mean that there is a system to put those people aside. I think it's not the reality. And if we want to find a real solution, we have to identify the real problem. And say it doesn't mean that we don't find any problem, and everything is fine, no, that's not what we say. But telling that there is a system to put in place and make our nation racist, no, I don't think so, I don't think so. There are people who are racist, obviously, but not the system, no.

Mme Fletcher (Raquel) : Merci.

Le Modérateur : C'est ce qui met fin à cette conférence de presse. Je vous remercie, messieurs, pour votre collaboration. Je vous souhaite un bon vendredi.

M. Caire : Merci, à vous aussi.

(Fin à 10 h 23)

Participants


Document(s) associé(s)