(Onze heures quinze minutes)
M.
Caire
:
Merci. Bien, écoutez, très, très fier de cette évolution ou, je devrais dire,
de cette continuité de ce qu'on a commencé en 2018.
D'abord, le premier ministre, dès la
formation du gouvernement, a reconnu l'importance du numérique, de la
cybersécurité dans les activités du gouvernement du Québec en me faisant
l'honneur de me nommer ministre délégué. Plusieurs choses ont été faites. Je
vais vous épargner la nomenclature, parce que je sais que vous êtes avides de
passer au vif du sujet, mais plusieurs choses ont été faites, jusqu'à ce qu'on
arrive à un constat. Le constat est le suivant.
D'abord, avec la pandémie, la transformation
numérique s'est accélérée d'une façon exponentielle. Avec l'accélération de la transformation
numérique, les cybermenaces ont suivi dans les mêmes proportions. Donc, aujourd'hui,
nous sommes plus attaqués que jamais. Nous sommes sous le coup de cybermenaces
comme jamais.
Autre constat qui s'est fait, malgré des investissements
de 4 milliards, malgré un PQI de 7 milliards, malgré le fait qu'il y
ait 18 000 ressources qui travaillent en technologies de l'information au
gouvernement du Québec, et qu'on embauche 4 000 consultants, force est
d'admettre que le niveau de transformation numérique auquel on est rendus est
loin d'être satisfaisant. Trop souvent, nos concitoyens sont transformés en
commis de l'État.
Qu'est-ce que je veux dire par là? Je
donne un exemple très simple. Le parent inscrit son enfant à l'école. L'école
va lui demander évidemment des informations sur l'enfant, informations que le
gouvernement possède déjà. On va demander le certificat de naissance, que le
gouvernement fournit. Donc, le gouvernement demande aux parents d'aller
chercher un document que le gouvernement fournit. C'est inacceptable. L'école
va demander les derniers bulletins. Donc, le ministère de l'Éducation demande
aux parents de lui fournir un document qui est fourni par le ministère de
l'Éducation. Que le ministère de l'Éducation se parle, s'il vous plaît. Laissez
les parents tranquilles.
Et là je pourrais vous donner des
centaines d'exemples comme ça, en santé, en transport, dans tous les services
de l'État, ministère du Travail, Emploi et Solidarité sociale, où les citoyens
sont des commis de l'État. Pourquoi? Parce que la transformation numérique
n'est pas au niveau où on voudrait qu'elle soit.
Maintenant, vous me dites : Oui, mais
vous aviez le mandat de faire ça. C'est vrai et, en même temps, non. Pourquoi?
Parce qu'en étant au Conseil du trésor il n'y a pas cette capacité-là, nous
n'avions pas cette capacité-là de prendre en charge les projets communs. Le
ministère du Conseil du trésor est un ministère de contrôle, ce n'est pas un
ministère d'opération.
Donc, culturellement, ce qui se passait,
ce qui se passe encore, c'est qu'on va demander à un ou l'autre des ministères
d'assumer une charge qui, normalement, devrait être collective, ce qui est
plutôt difficile, ou alors chacun des ministères va faire chacun pour soi ce
qui devrait être collectif.
Conclusion : il faut un ministère
pour assurer la conception, la réalisation et l'opération des systèmes
collectifs. Et il y en a. L'identité numérique est un bel exemple de ça, la
consolidation des CTI est un bel exemple de ça, les centres de traitement de
l'information… Et je pourrais vous en donner d'autres.
Au niveau de la cybersécurité, c'était le
même problème. On parle d'une culture où une attaque devait rester cachée à
l'intérieur d'un ministère, comme quelque chose de honteux qu'on traitait à
l'interne, à une culture de : Au contraire, il faut le divulguer, il faut
en parler, il faut l'annoncer, il faut aller chercher de l'aide, il faut
apprendre de ça collectivement. La cybersécurité est une responsabilité
collective. Ce n'est pas la responsabilité de l'un ou l'autre des organismes.
Alors, pour toutes ces raisons, le premier
ministre en est arrivé à la conclusion qu'un ministère de la Cybersécurité et
du Numérique s'imposait dans la logique des opérations que nous avons mises
ensemble et dans la continuité des actions que nous avons posées depuis
trois ans. C'est pourquoi il m'a demandé de préparer, déposer et
travailler à l'adoption, avec les collègues de l'Assemblée nationale, de ce
projet de loi.
Là-dessus, je suis prêt à entendre les
questions.
Mme Prince (Véronique) :
Est-ce qu'il y a un précédent à quelque part? Est-ce que, dans un autre pays ou
un autre État, vous avez comme un modèle par rapport à ça?
M.
Caire
: Non.
En fait, en Amérique du Nord, on sera les premiers, très certainement. Dans le
monde, on n'a pas une exploration exhaustive de l'ensemble des pays, mais on
pense que, si on n'est pas le premier, on est un des premiers États à le faire.
M. Denis (Maxime) : C'est
toujours lourd quand on parle d'informatisation, d'informatique au
gouvernement. On a vu par le passé… On a dépensé des millions de dollars.
Comment on va venir rassurer les Québécois en disant : O.K., on ouvre
encore plus les données, mais, en même temps, on joue sur le Web, justement…
qu'il y a plein de menaces? Comment vous rassurez les Québécois sur la sécurité
du Web?
M.
Caire
: Parce
qu'avec la création du ministère de la Cybersécurité et du Numérique on va
justement aller chercher cette concentration-là d'expertise. Actuellement, les
nombreux désavantages de travailler en silo, c'est que chaque… Il y a 304 organismes
juste dans l'administration publique. Ces 304 organismes là collectent un
ensemble important d'informations sur chacun d'entre nous. Ça, ça veut dire
que, juste dans l'administration publique, là, il y a 304 versions
différentes d'Éric Caire, il y en a juste une qui est bonne. Alors,
imaginez-vous que les 303 autres, là, ça pose problème. Ça, c'est le
premier problème.
Deuxièmement, ce n'est pas vrai que
304 organismes, juste dans l'administration publique, là, je ne vous parle
pas de la Santé puis de l'Éducation, peuvent aller chercher le niveau
d'expertise nécessaire à assurer la sécurité de l'information des systèmes de
la protection des renseignements personnels. Cette expertise-là, même pour l'entreprise
privée, elle est trop rare.
Donc, l'idée, c'est de dire : On va
concentrer les opérations dans un ministère. On va aller chercher cette
expertise-là et on va s'assurer, à partir de cette expertise-là, que les
opérations sur le terrain vont être faites de façon coordonnée, selon les
meilleures pratiques qui existent dans le monde, et de façon à s'assurer, oui,
de la mobilité de la donnée, parce que ce que je vous ai dit tantôt pour éviter
ça, il faut que les ministères se parlent, mais le périmètre, on va le faire
autour des systèmes d'information du gouvernement puis on va s'assurer qu'il
soit aussi étanche que possible.
Une voix
: …
M.
Caire
: Je
vais juste peut-être… juste laisser la chance…
M. Laforest (Alain) : M. le
ministre, j'aurais peut-être deux questions pour vous, là, parce que c'est
beau, la cybersécurité, puis tout ça, puis on n'a pas de leçons à recevoir de
l'étranger… ce qui s'est passé chez Desjardins, là, mais, avant d'aller à ce
dossier-là, vous voulez créer une identité numérique. Est-ce que ça ne devient
pas inquiétant de se retrouver avec une carte qui va donner accès à tout, soit
permis de conduire, soit carte d'assurance maladie? Comment ça va fonctionner
pour le commun des mortels? Puis quel est l'objectif que vous vous donnez pour
la mettre en place, cette identité numérique là?
M.
Caire
: En
fait, l'identité numérique, elle est numérique, comme son nom l'indique. Les
différents documents qui vont découler de cette identité-là, assurance maladie,
permis de conduire, pourront, eux aussi, être des documents numériques. Mais, à
la base, votre identité, elle est numérique. Pourquoi? Parce qu'il faut se
sortir du modèle archaïque, justement, des cartes du genre numéro d'assurance
sociale, on l'a vu plus récemment, le numéro d'assurance maladie, il faut se
sortir de cette logique-là qui, elle, était adaptée à l'univers papier, mais,
dans l'univers numérique, représente, puis vous l'avez vu, on a des exemples
très nombreux, représente une faille de sécurité importante.
Alors, dans l'univers... On va donc créer
cette identité numérique là qui va faire en sorte que chacun des citoyens va
devoir, évidemment, démontrer son identité, ensuite va faire partie de
l'identification numérique qui va être gérée par le gouvernement du Québec.
Donc, vous, M. Laforest, vous allez nous démontrer que vous êtes bel et
bien Alain Laforest, on crée votre identité numérique, et, après ça, c'est
cette identité numérique là dont vous allez vous servir à travers les
différents systèmes.
De là découlent tous les documents qui
peuvent être émis par la Direction de l'état civil, certificat de naissance,
certificat de mariage, les autres documents officiels du gouvernement, permis
de conduire, carte d'assurance maladie, etc. Et on peut même, et nous allons
même étendre ce cercle-là, même si le noyau dur est contrôlé par le
gouvernement, on pourra même étendre cette possibilité-là à des documents non
gouvernementaux. Par exemple, votre preuve d'assurance, ce n'est pas le
gouvernement qui la fournit, mais, dans le portefeuille numérique, ça peut être
intéressant. Votre carte de crédit, carte de guichet, ce n'est pas un document
qui est fourni par le gouvernement, mais ça peut être intéressant de l'avoir
dans le portefeuille numérique.
M. Laforest (Alain) : ...la
sécurité de ça maintenant, là? Parce que, là, ça devient problématique si on
regroupe sur une carte l'ensemble des données, là.
M.
Caire
:
Oubliez la notion de carte. La notion de carte, c'est une notion qui appartient
à l'univers papier. C'est une identité numérique, c'est une façon numérique de
vous identifier. Donc, on vous donne les justificatifs qui vont faire en
sorte... Vous avez un justificatif numérique, des questions que je vous pose,
des questions secrètes, des codes, qui vont me permettre de m'assurer que vous
êtes bel et bien qui vous prétendez être. Ce justificatif-là, on va regarder
la... la possibilité, pardon, qu'il soit biométrique. Les Québécois semblent de
plus en plus ouverts à l'idée d'avoir une identification et une
authentification biométriques. Donc, c'est pour ça que c'est important que le
coeur de ça soit contrôlé par une entité et que ça demeure extrêmement
sécurisé, donc, cette façon-là de vous identifier, de vous authentifier.
Ne confondez pas les fameux documents, parce
que, je le sais, on est habitués de se servir de la carte d'assurance maladie,
le permis de conduire, mais, dans l'univers numérique, il n'y a pas besoin de
ce support-là pour avoir une identité numérique.
M. Bossé (Olivier) : Combien
de fonctionnaires en plus…
M.
Caire
:
Aucun, parce que ce qu'on fait, c'est la fusion d'Infrastructures
technologiques Québec, qui existe déjà avec une loi constitutive… Donc, on le
transforme en ministère et on vient chercher, au Secrétariat du Conseil du
trésor, le sous-secrétariat du dirigeant principal. Donc, au Secrétariat du
Conseil du trésor, il y a sept sous-secrétaires. Il y en a un qui est le
dirigeant principal de l'information, donc, qui est dédié aux questions du
numérique et de la cybersécurité. Lui, on le sort du Conseil du trésor et on le
greffe à la nouvelle entité qui est le ministère de la Cybersécurité. Donc, en
termes d'effectifs, on garde les mêmes personnes. C'est vraiment une capacité…
C'est des pouvoirs nouveaux que la loi va donner et c'est une entité qui va
être opérationnelle. On va pouvoir livrer des choses. On va pouvoir faire des
choses.
Une voix
: …
M.
Caire
: Je
reviens à toi après.
M. Lecavalier (Charles) :
Juste pour la question de la main-d'oeuvre, là, est-ce que le secteur de la
sécurité informatique souffre de la pénurie de main-d'oeuvre aussi? Est-ce que
vous avez une estimation du nombre de postes non comblés au sein de l'État?
M.
Caire
: Oui.
M. Lecavalier (Charles) :
Bon, ça fait qu'on est où?
M.
Caire
: Actuellement,
au sein de l'État, on a au-dessus de 1 000 postes non comblés, mais pas
nécessairement juste en cybersécurité, mais c'est… Au total, on a au-dessus de
1 000 postes qui sont non comblés.
Alain, je m'excuse, j'ai peut-être coupé
vite. Tu avais l'air à dire que tu avais encore une question. Après ça…
M. Laforest (Alain) : C'est
la mise en place de la biométrie. C'est quand, là? C'est un objectif… C'est
dans 10 ans, c'est dans cinq ans?
M.
Caire
: Non,
non, non, en fait, ce qu'on fait, c'est que, là, on travaille actuellement avec
l'Ontario, la Colombie-Britannique pour avoir des systèmes qui sont
interopérables, des systèmes qui sont ouverts.
Ce qu'on fait, c'est qu'on met en place
les infrastructures pour être capables de le faire, mais, après ça, vous
comprendrez qu'il y a une question d'acceptabilité sociale et, aussi, il faut
assurer une transition, parce que, dans votre question, j'entendais la notion
de «carte». Donc, il y a des gens qui vont vouloir continuer de travailler avec
leur carte d'assurance maladie, avec leur permis de conduire papier. Il faut
intégrer ça. Donc, il y a une période de transition.
Je vous dirais que le module propre à
l'identification, l'authentification, juin 2022. Au mois de novembre, je vais
avoir le dossier d'affaires pour le portefeuille numérique. Donc, quand je vous
parlais, là, d'un permis de conduire virtuel, une carte d'assurance maladie
virtuelle, etc., le dossier d'affaires pour la réalisation de ça, je devrais
l'avoir d'ici la fin du mois de novembre. Donc, je verrai, là, à ce moment-là,
j'aurai plus d'information sur les délais, les coûts, etc., là. Je pourrai vous
donner plus de détails là-dessus. Véronique.
Mme Prince (Véronique) : …à
la question de mon collègue Charles, est-ce qu'on en a, des experts en
cybersécurité, au gouvernement, suffisamment? Parce que ça ne court pas les
rues, puis l'entreprise privée est très agressive, là, pour aller les chercher
puis les payer des bons montants, leur donner des bonnes conditions de travail.
M.
Caire
: On en
a. Et je vous dirais qu'en créant le ministère de la Cybersécurité il y a des
postes de très haut niveau qui vont s'ouvrir, nécessairement. Là, on parle de
sous-ministre associé et des postes de hauts fonctionnaires qui vont s'ouvrir.
On va aller chercher toutes les compétences disponibles. Sans aller plus loin,
je vous dis qu'il y a de l'intérêt.
Et je vous dirais même qu'au niveau du
chef de la transformation numérique gouvernementale, donc, celui qui occupe ce
poste-là, Jonathan Kelly, est quelqu'un qui arrive du privé. Donc, c'est nous
qui sommes allés au privé chercher cette extraordinaire ressource là et qui
avons eu la capacité de l'attirer au gouvernement du Québec.
Je vous dirais qu'on a des candidatures
intéressantes aussi au niveau de la cybersécurité, mais, pour l'instant, on va
commencer par faire adopter par l'Assemblée nationale le projet de loi puis,
après ça, on pourra aller de l'avant avec... combler...
Le Modérateur
: Olivier
Bossé, Le Soleil. Là, j'apprécie votre enthousiasme. On va
commencer un peu comme une mêlée de presse. C'est un point de presse
aujourd'hui. Alors, on va s'assurer que tout le monde puisse poser des
questions. Olivier Bossé, Le Soleil.
M. Bossé (Olivier) : Pour qu'on
soit clairs, M. Caire, vous dites, donc, qu'on va être identifiés par une
empreinte de doigt ou un scan de l'iris. Quand vous dites «biométrique», là, il
faut comprendre...
M.
Caire
: Oui.
Bien, je dis que c'est une possibilité. Ce n'est pas la seule façon, c'est une possibilité
qui pourra être offerte aux Québécois qui sont d'accord pour utiliser cette possibilité-là.
M. Bossé (Olivier) : À partir
de juin prochain?
M.
Caire
: Non,
non, non. Ça, on est vraiment dans le service d'authentification. Il faut
comprendre qu'on y va par bloc, là, on y va par étape. Donc, ce qu'on va livrer
en juin, c'est le service d'identification puis d'authentification. Ça, c'est vraiment
le coeur du projet où, là, on va être capables de vous identifier. On va y
aller avec les justificatifs plus courants pour cette première phrase là, mais
il est déjà prévu qu'on puisse aller plus loin en se servant de la biométrie.
M. Bossé (Olivier) : Dans un
délai de?
M.
Caire
: Je
vous dirai ça quand j'aurai le dossier d'affaires du portefeuille numérique parce
que les deux sont intimement liés.
Le Modérateur
: Maxime
Denis, Noovo.
M. Denis (Maxime) : Juste
pour préciser, M. Caire, est-ce qu'on est en pourparlers, en discussion
avec d'autres pays, comme en Estonie, où ça existe déjà, l'identité numérique,
ou en Asie, où on a les reconnaissances faciales, tout ça? Est-ce qu'on apprend
des modèles, des erreurs des autres ou...
M.
Caire
: Oui,
la réponse à votre question... en fait, la fin de votre question, oui, on
apprend des erreurs des autres. Maintenant, pour l'instant, on collabore avec
différentes provinces canadiennes parce que je pense que...
M. Denis (Maxime) : ...au Canada,
il n'y a rien? On ne regarde pas avec d'autres pays?
M.
Caire
:
Attendez, laissez-moi finir. Ce qui est intéressant maintenant, c'est qu'avec
l'adoption du projet de loi n° 64 on a harmonisé nos lois de protection
des renseignements personnels à ce qui se fait en Europe.
Donc, moi, il y a deux ans maintenant,
j'avais eu des discussions avec les dirigeants de l'ANSSI, qui sont les
responsables de la cybersécurité pour la France, et j'avais ouvert cette possibilité-là.
La porte était fermée parce que nos lois étaient trop permissives par rapport à
ce que l'Europe fait. Donc, maintenant qu'on a adopté le projet de loi n° 64,
il y a un intérêt pour relancer ces discussions-là.
Mais, pour l'instant, les ententes que
nous avons, elles sont à l'intérieur du Canada. Je vous l'ai dit, le gouvernement
fédéral, l'Ontario et la Colombie-Britannique. Puis je pense qu'au premier chef
c'est intéressant aussi pour les Québécois d'être capables d'utiliser leurs
documents à l'intérieur de leur pays.
Le Modérateur
: Charles
Lecavalier, LaPresse.
M. Lecavalier (Charles) : M.
Caire, j'ai deux petites questions qui tournent encore sur le concept de
cybersécurité, là. La première, c'est que vous dites qu'on est plus attaqués
que jamais, par qui?
M.
Caire
: Oui.
Bien, en fait, aujourd'hui, ça a beaucoup évolué, parce qu'autrefois les
attaques, c'était le fait d'individus, de ce qu'on appelle des loups
solitaires. Aujourd'hui, c'est des groupes criminalisés, c'est des États qui
vont financer des organisations qui se livrent à des cyberattaques, des
cyberintrusions, donc, de plus en plus, et c'est ce qui fait que les
cyberattaques deviennent de plus en plus sophistiquées, parce que les moyens
financiers, matériels et le capital humain est très important pour ces
organisations-là.
Et je vous dirais qu'il y a même
aujourd'hui une industrie qui se développe, du rançongiciel, à savoir vous,
M. Lecavalier, auriez la possibilité d'aller magasiner votre rançongiciel
et de vous partir votre propre entreprise de rançongiciel, donc d'hameçonnage,
là. Vous pourriez dire : Bon, bien, je vais me servir d'une liste de
courriels que je vais aller acheter sur le «dark Web», je vais utiliser tel
rançongiciel, puis je vais en envoyer, puis je vais regarder comment ça... Bon,
évidemment, là, ça prend quand même un minimum de compétences, comprenez-moi
bien, mais ça se démocratise de plus en plus. Malheureusement, c'est ce qui
fait qu'on a une augmentation qui est aussi importante.
Le Modérateur
: Vincent
Larin, Agence QMI.
M. Larin (Vincent) : …une
question pour mon collègue Nicolas Lachance qui ne peut pas être là.
Essentiellement, est-ce que votre projet de loi ne va pas faire que ça va
devenir un bar ouvert pour les consultants, avec les budgets, notamment?
M.
Caire
: Non,
parce que la politique qu'on a mise en place depuis que je suis là, puis qui
est inscrite même dans la politique de cybersécurité, c'est qu'il faut
absolument... Au niveau de la cybersécurité, il faut avoir le contrôle de nos
infrastructures critiques. On ne peut pas laisser ça à l'externe. Donc, de plus
en plus… Puis c'est le cas notamment sur le projet d'identité numérique, où on
s'est assurés... On a recours à des consultants, mais pour des opérations qui
sont ponctuelles, pour des expertises qu'on ne possède pas. Mais la structure
de gouvernance, ceux qui prennent les décisions, ceux qui font les analyses,
ceux qui font l'architecture de tout ça, c'est des ressources internes. Et on
tend à internaliser de plus en plus de ressources parce qu'on veut absolument
garder le contrôle sur nos infrastructures critiques.
M. Larin (Vincent) :
Également, comment est-ce qu'on compte combler les postes spécialisés en
informatique dans le ministère?
M.
Caire
: Bien,
écoutez, premièrement, c'est en lien avec votre question, ce qui était un peu
fâchant pour nos ressources internes, c'est que, souvent, ils faisaient des
tâches subalternes, puis les projets intéressants étaient faits par les
consultants. Donc, nous, aujourd'hui, ce qu'on dit, c'est que les tâches
intéressantes, on va les faire faire par nos ressources à l'interne puis on va
essayer de laisser aux consultants les tâches qui sont peut-être moins intéressantes,
plus subalternes, d'une part.
D'autre part, en créant le ministère de la
Cybersécurité, on crée une organisation qui est dédiée, où il y a aussi, qu'on
le veuille ou non, une valorisation et une reconnaissance des compétences en
TI. Ça, c'est un élément qui est important.
On peut mettre en place aussi... à
l'interne du ministère, on peut mettre en place des environnements de travail,
des conditions de travail, notamment le télétravail, qui vont faire en sorte
qu'on va moderniser, là, on va se sortir des paravents bruns, là, puis on va
aller vers quelque chose d'un petit peu plus intéressant, bureau virtuel,
flexibilité dans les horaires. Donc, on est capables, je pense, de moderniser
nos façons de faire.
Et finalement, parce qu'il ne faut pas le
négliger, le facteur salarial, il y a des primes qui ont été octroyées par le
Conseil du trésor en TI de façon générale, mais pour les spécialistes de façon
particulière.
Le Modérateur
: Alors,
s'il ne reste plus de question en français... Une dernière peut-être, oui,
Vincent.
M. Larin (Vincent) : Une
dernière. Est-ce qu'on pourrait penser... Vous parlez des primes qui sont
offertes, des conditions particulières pour les gens en TI. Est-ce qu'on
pourrait penser qu'il y ait une bonification de ça encore étant donné que ça en
prendra probablement plus avec la création du ministère?
M.
Caire
:
Écoutez, ce n'est pas quelque chose qu'on exclut, mais je vous dirais qu'on
n'est pas là pour le moment, là. On va s'attabler sur ce sur quoi on a du
contrôle, mettre en place les facteurs d'attraction sur lesquels on a du
contrôle, puis pour le reste, écoutez, on… Mais ce n'est pas exclu.
Le Modérateur
: En
anglais maintenant. Andrew Brennan, CTV News.
M. Brennan (Andrew) :
Bonjour. Alors, M. Éric Caire, juste vitement, si c'est possible, c'est
possible d'avoir un résumé de… the timeline going to June
2022, what's going to be happening.
M.
Caire
:
For the digital identity?
M. Brennan (Andrew) : Yes.
M.
Caire
:
OK. First of all, the first part of the digital identity is the way we can
identify and authentify people, so the first bloc will be delivered to June
2022. After that, there is a digital wallet, we're working on it, and we will
table the file in next November.
M. Brennan (Andrew) : Just thinking back to some of the incidents of cybersecurity
attacks, both... we talked about Desjardins, but there's also been crown
corporations, Hydro-Québec routinely sees them, and the Government of Québec
also sees them a lot. You said we are seeing more attacks, it's unprecedent, it
continuously grows. Will it only get worse? And what's the importance of
creating the Ministry?
M.
Caire
:
Well, because we need specific expertise in cybersecurity, because the attacks
grow in number but are more and more accurate. So, we need to gather that
expertise into an organization dedicated to cybersecurity. That's one of
different reasons the Premier decided to create that minister.
M. Brennan (Andrew) : Forgive me for asking this, but I remember, when we were talking
about the QR code, they would not be hackable. Do you think there is any
skepticism that could come from centralizing not only infrastructures and
expertise in the Government, with the Cybersecurity Ministry, seeing how we've
responded to the vaccine passport and the… issues with security regarding this
technology?
M.
Caire :
Well, I don't think so because, I mean, gathering expertise into one
organization allowed us to make things better, and better, and better. Is it
perfect? No, it's not. There is zero risk? No, there is no zero risk. But, I
think, in doing so, we are getting better and we are more comfortable to face
those new kinds of attacks and those kinds of cyberthreats.
Le Modérateur
:
Cathy Senay, CBC News.
Mme Senay (Cathy) : Mr. Caire, the private sector is well-advanced in this game, you're
late. So, what are you trying to do on cybersecurity here for the Government?
M.
Caire
: We have to work with private sectors. We have to work with
universities. We have to work with everyone who can provide us a certain level
of expertise in a way to getting better and better in that matter. That's what
we do and that's what we will do in the future.
For
example, digital identity, we are working, yes, with
our own resources, but we are working with banks, we are working with private
enterprises, we work with different universities in Québec because we need their expertise and they need our own expertise,
you know. So, working together is the way to getting better together.
Mme Senay (Cathy) : In the bill, it does… if it becomes a law, it's basically ensuring
that public bodies adopt the best cybersecurity practices. What Quebeckers should understand from this? What
will they get from this?
M.
Caire
: Well, they must understand that taking cybersecurity as serious as
it requires, it's not an option anymore because, you know, different public
bodies have different missions. Those missions are not to be the best in
cybersecurity concern, it's a side effect, if I may. But now, in digital world,
that couldn't be anymore a side effect. That must be a priority for everyone
working in a digital world. That's the reason why we want to make sure that
public bodies, any public bodies, know that they must now take it seriously, as
seriously as it's required.
Mme Senay (Cathy) : …to regroup all of those «matières grises», like, all this
knowledge within the same ministry.
M.
Caire
: That's one reason, yes, because it's not a good idea to spread that
expertise into different public bodies. I think we will… more efficient if one
organization takes the lead of gathering that expertise and provides that
expertise to every public bodies to make sure that they have the perfect
practical… in cybersecurity concerns.
Mme Senay (Cathy) : One last question.
With this ministry being created, how confident are you that you win this
battle in cybersecurity against those threats?
M.
Caire
: I think, pretty confident, yes, because I have a lot of projects in
my mind to make sure to increase our skills in cybersecurity and provide our
people all the tools they need to be more efficient. But I will never take for
granted that we were the best organization in cybersecurity. No, but I think we
can do better. We did so in the past. I think we can do better in
cybersecurity. We will do better. This is my commitment. Will we be perfect?
No, but I think we can provide a certain level of confidence and a certain
level of expertise to Quebeckers
in the way we protect their personal data.
M.
Bossé (Olivier) : …le ministère?
M.
Caire
: Bien,
écoutez, ce n'est pas compliqué. Actuellement, l'ITQ, c'est
1 800 employés, puis le secrétariat du dirigeant principal, à ma
connaissance, ils sont à 170. Alors, additionnez…
M. Bossé (Olivier) : 2 000.
M.
Caire
: Oui.
Mme Senay (Cathy) : O.K.,
c'est assez gros, non?
M.
Caire
: Oui,
mais…
Mme Senay (Cathy) : Ça se
compare comment?
M.
Caire
: Bien,
je ne le sais pas. Je n'ai pas des chiffres, mais c'est probablement un des
plus gros. Mais en même temps on va assurer la sécurité et la transformation
numérique. Ce n'est pas simplement du gouvernement, là. Il faut comprendre
qu'on s'occupe aussi des réseaux, là. C'est le gouvernement du Québec. Donc, on
va travailler avec Hydro-Québec. On va travailler avec la SAAQ. On va
travailler avec les organismes du gouvernement. On va travailler avec les
deux réseaux. On va travailler avec, bien, évidemment, les différents
ministères. Donc, on quand même un champ assez large à couvrir, là. On ne sera
pas de trop.
Le Modérateur
: Alors,
s'il n'y a pas d'autres questions…
M. Lecavalier (Charles) :
…sur les policiers. Non, mais c'est parce que je me posais la question…
M.
Caire
: Sur
les policiers?
M. Lecavalier (Charles) : Je
vous pose la question. C'est parce que, là, je comprends que vous, votre job, ça
va être de faire une espèce de bouclier, là, qui protège, là, les réseaux de
l'État. Mais on a vu dans les dernières années que, quand il arrive, je ne sais
pas, moi, par exemple, La Place 0-5 ou quand il arrive… bon, Desjardins, c'est
au privé, mais qu'il y a une intrusion, qu'il y a un vol, parfois c'est
difficile, pour le système de justice, les policiers, de trouver un coupable
puis de le faire passer devant la justice. Puis je comprends que, vous, ce
n'est pas votre rôle, là, mais est-ce qu'il y a une réflexion au gouvernement
pour que, disons, les services de sécurité soient un peu moins démunis face à
cette nouvelle menace?
M.
Caire
: Oui.
Bien, en fait, ce que je vous dirais, c'est que la Sûreté du Québec est dotée
d'un dirigeant de l'information. Donc, la structure qui est mise en place, il y
a le dirigeant principal, donc le grand patron, bien, des TI en général, mais
chaque organisme, maintenant, est doté d'un dirigeant… bien, maintenant, depuis
un certain temps, est doté d'un dirigeant de l'information. La Sûreté du Québec
a ça. Ce qu'il faut faire, maintenant, puis ce à quoi on travaille, c'est
d'assurer une collaboration encore plus étroite. D'ailleurs, le dirigeant de
l'information de la Sûreté du Québec a participé activement à l'élaboration de
la politique de cybersécurité. Donc, on s'assure d'avoir cette
collaboration-là.
Maintenant, en créant le Centre
gouvernemental de cyberdéfense, on a mis en place un certain nombre de
services, notamment la recherche systématique d'informations sur le «dark Web»,
ce qui se faisait à géométrie variable, mettons. Je vais être poli, je vais le
dire de même. Maintenant, on le fait systématiquement et on le fait 24 heures
sur 24, sept jours sur sept. Donc, quand on trouve des éléments, bien,
évidemment, s'il y a des éléments qui sont de nature à être enquêtés, on va
transmettre les informations à la Sûreté du Québec. En plus, les services qu'on
offre, les services d'expertise, sont disponibles. Si la Sûreté du Québec ou
tout autre corps policier en a besoin, on va leur offrir ces services
d'expertise là.
M. Laforest (Alain) : Est-ce
que ça va jusqu'à la menace envers l'État, votre surveillance du «dark Web»?
M.
Caire
: Bien
oui, je vous dirais, prioritairement.
M. Laforest (Alain) : Menaces
envers les élus?
M.
Caire
:
Menaces envers toute personne, tout citoyen du Québec, menaces envers sa vie
privée, menaces envers ses renseignements personnels, menaces envers les
individus, physiquement, évidemment, clairement.
Le Modérateur
: Merci, tout
le monde. C'est la fin du point de presse.
M.
Caire
:
Merci.
(Fin à 11 h 45)