Journal des débats (Hansard) of the Committee on Public Finance
Version préliminaire
42nd Legislature, 2nd Session
(October 19, 2021 au August 28, 2022)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Tuesday, April 26, 2022
-
Vol. 46 N° 25
Étude des crédits budgétaires du ministère de la Cybersécurité et du Numérique
Aller directement au contenu du Journal des débats
9 h (version non révisée)
(Neuf heures trente et une minutes)
Le Président (M. Simard) : Bonjour
à tous. Bon, mardi matin. Je constate que nous avons quorum, heureux de vous
retrouver. Nous pouvons donc amorcer nos travaux. Et comme vous le savez, la
commission est réunie afin de procéder à l'étude des crédits budgétaires du
portefeuille Cybersécurité et Numérique pour l'exercice financier 2022‑2023.
Une enveloppe de deux heures a été allouée pour l'étude de ces crédits. Mme la
secrétaire, bonjour!
La Secrétaire : Bonjour.
Le Président (M. Simard) : Y
a-t-il des remplacements ce matin?
La Secrétaire : Oui, M. le
Président : M. Émond (Richelieu) est remplacé par Mme Boutin
(Jean-Talon); Mme Foster (Charlevoix—Côte-de-Beaupré) est remplacée par M. Allard
(Maskinongé); et M. Barrette (La Pinière) est remplacé par M. Kelley
(Jacques-Cartier).
Le Président (M. Simard) : Vous
connaissez nos règles, elles sont claires. Nous allons procéder par blocs
d'échanges d'environ 17-18 minutes par alternance et, au terme du temps
qui nous est dévolu, nous allons procéder au vote sur nos crédits. Puisque nous
avons légèrement dépassé le temps de début de notre scénario. J'aurais besoin
d'un consentement afin de poursuivre au-delà de l'heure requise. Il y a
consentement. Et je cède immédiatement la parole au porte-parole de
l'opposition officielle. Cher collègue, soyez le bienvenu.
M. Kelley : Merci
beaucoup, M. le Président. Je suis très content d'être ici ce matin pour
discuter les crédits, pour la première fois, à le ministère de la Cybersécurité
et la Transformation numérique. Je pense que je vais juste commencer avec des
questions. Pendant la semaine de la relâche, M. le ministre, on a eu deux
nouvelles, une concernant un lien vers un site pornographique, de ce que je
comprends, c'était peut-être une erreur humaine. Mais une autre, un lien ou
vers... sur le site du ministère des Transports qui a dirigé les gens vers des
médicaments de Viagra, si je comprends bien les nouvelles que j'ai vues. Dans
ces deux incidents, ici, je veux bien comprendre, dans votre rôle comme
ministre responsable, pour bien informer vos collègues et les autres ministères
sur comment bien gérer notre système, quelles étapes est-ce que vous avez
prises depuis que vous a été nommé ministre pour s'assurer que ce type
d'événements n'arrive pas, mais aussi, dans le deuxième cas, est-ce que vous
avez fait une enquête avec vos collègues pour mieux comprendre qu'est-ce qui
est arrivé?
M. Caire : O.K. Tout d'abord,
au niveau du ministère, ce qu'on a fait, c'est on a créé ce qu'on appelle le
centre gouvernemental de cyberdéfense et, dans chaque ministère et organisme,
des centres opérationnels. Donc, l'objectif, c'est de créer un réseau qui
travaille en collaboration, au lieu que chaque organisation soit responsable de
la cybersécurité de ses systèmes...
9 h 30 (version non révisée)
M. Caire : ...d'information.
Donc cette complicité-là, cette interaction-là permet de mettre en place après
ça, grâce à la loi 95, des mesures, les quinze mesures qu'on a demandées,
quinze mesures minimum qu'on a demandées à tous les ministères et organismes,
de mettre en place pour assurer la protection de leurs systèmes d'information.
Dans le cas que vous soulevez, M. le député de Jacques-Cartier, bien, c'est des
erreurs humaines. Donc, oui, on a fait des vérifications, on n'a pas fait d'enquête,
on n'a pas eu besoin de faire une enquête, c'est des vérifications, et des gens
qui ont les autorisations pour mettre en ligne ces sites-là, ces liens-là de
redirection, malheureusement ont commis une erreur, et, d'après moi, ils sont
en train de le payer très cher, M. le député. Donc malheureusement il n'y a
rien qu'on peut faire pour contrer l'erreur humaine. Mais en termes de
protection, ce qu'on a fait, c'est vraiment mettre en place un réseau qui
travaille en collaboration pour s'assurer de la protection de nos systèmes d'information.
M. Kelley : ...je comprends
mieux maintenant le contexte, les deux cas-là, mais encore, si jamais comme un
lien est pris par un hacker puis, c'est sûr, un site... Parce qu'on sait, le
gouvernement a plein des sites, plein de liens vers... si c'est des communiqués
de presse, des différents documents, mais quel type de surveillance est ce que
votre ministère, et quand même le gouvernement, en général, est capable de le
faire, pour faire des révisions, juste en général, pour voir comme tester des
sites qui sont moins utilisés, pour voir est-ce qu'il y a des points de
rentrée, peut être des sites vulnérables, quel type de révision est-ce qui est
présentement en place pour bien s'assurer que notre information est bien protégée?
M. Caire : Bien,
essentiellement, je vous dirais, de base, là, il y a d'autres mesures qu'on met
en place, mais de base, les trois tests qu'on va faire, c'est ce qu'on appelle
des balayages. Donc on a un outil, qui est un outil québécois, soit dit en
passant, un excellent outil, qui va nous permettre de scanner les sites qui
sont visibles depuis Internet et chercher des vulnérabilités. Ça, c'est la
première chose qu'on va faire. Compte tenu du très grand volume de sites dont
le gouvernement dispose, qui sont visibles depuis Internet, évidemment, là, il
faut travailler sur augmenter notre capacité de volume, donc faire plus de ces
tests-là. Mais essentiellement, ça, c'est les tests de base.
Il y a aussi des tests d'introduction.
Donc on va essayer de forcer le système pour s'introduire dans... trouver des
vulnérabilités, des failles pour lesquelles on... qui seraient disponibles et
donc pour par lesquelles on pourrait entrer dans le système, puis là, à partir
de là, ce qu'un hacker ferait, donc prendre le contrôle du système ou injecter
un code malicieux. Donc un hyperlien, comme vous le référez, ça peut être fait
par une injection de code. Donc c'est quelqu'un qui va mettre ce code-là, qui
fait que l'hyperlien, au lieu de se rediriger vers l'endroit où on veut, va
vous rediriger vers un site moins licite.
Et le troisième type de test qu'on va
faire, c'est des simulations d'hameçonnage auprès des employés du gouvernement.
Donc on va envoyer des courriels volontairement malicieux pour voir comment l'employé
va réagir par rapport à ce test d'hameçonnage là. Et évidemment, vous
comprendrez qu'il n'y aura pas de conséquences négatives à cliquer sur le lien
faussement malicieux, mais ça nous permet après ça de faire de la pédagogie
auprès de nos employés. Donc, essentiellement, les trois grandes mesures qu'on
va prendre pour tester nos systèmes, c'est ça.
M. Kelley : Merci beaucoup.
Oui, c'est sur la question des gens qui écrivent le code. Présentement, il y a
combien de gens au sein du gouvernement du Québec qui sont capables d'écrire,
préparer le code pour le gouvernement? Et, j'imagine, il faut souvent aller à l'extérieur
pour trouver ce type expertise, mais est-ce que c'est quelque chose qui vous
préoccupe, notre capacité d'écrire le code à l'interne? Puis avec les défis de
la main-d'œuvre qui est soulignée dans le cartable des crédits, je veux juste
avoir votre vision, puis aussi juste un état de la situation pour faire le
recrutement des gens qui sont capables de faire ce type de travail pour le
gouvernement du Québec. Et quand même, c'est quoi notre approche pour embaucher
des gens à l'extérieur de l'État, des firmes privées? Alors ça, c'est la
prochaine question pour vous, M. le ministre.
M. Caire : Oui. En termes d'emploi,
là, grosso modo, on est à 23 000 employés qui travaillent en TI, pas simplement
des gens capables de générer du code, là. Vous comprendrez qu'il y a toutes
sortes de métiers en technologies de l'information. On est à 23 000,
globalement, au gouvernement du Québec, on est à quoi, 4 000.... On est
à... externe, on est à...
M. Caire : ...externes,
donc on a un ratio d'à peu près 20-80, qui est, je vous dirais, raisonnable
dans les circonstances. Au ministère de la Cybersécurité et du Numérique, c'est
un peu différent. Notre ratio internes-externes est plus de l'ordre de 70-30,
parce que... puis même, on est peut-être plus, même plus à 60-40, là, on est à
38 %, je pense, d'externes, parce que deux choses. D'abord, on a des
projets avec des niveaux de difficulté technologique très élevés :
l'identité numérique, la consolidation des CTI notamment, qui sont
techniquement complexes. Au niveau de la cybersécurité aussi, on met en place,
là, des mesures de protection, des mesures de chiffrement qui ont un niveau de
complexité qui est plus élevé, qui nécessitent une expertise dont nous ne
disposons pas. Mais, par contre, les ententes que nous avons avec ces
externes-là, c'est qu'il doit y avoir... oui, il y a un service, mais il y a
aussi un transfert d'expertise. Donc, il faut, pendant la prestation de
service, que l'expertise qui est générée par ça soit transférée à nos internes.
Donc, on est à peu près dans ces ratios-là, M. le député.
• (9 h 40) •
M. Kelley : Encore sur
la main-d'oeuvre. Chaque ministère a dû faire face à la compétition avec le
secteur privé. Depuis que vous avez rentré en poste comme ministre, selon vous,
c'est quoi, les défis devant nous présentement pour recruter plus de talents?
Je comprends l'aspect de faire le transfert de certaines expertises avec les
entreprises privées. Mais juste, selon vous, quand la fonction publique lance
un appel d'offres pour trouver les gens qui sont capables de travailler dans
l'informatique, est-ce que c'est une question de salaire? Est-ce que c'est une
question, vraiment, il y a juste, dans ce monde, présentement, une grosse et
forte demande pour ce type de talent? Alors, je veux juste vous entendre sur
ça.
M. Caire : Mais, en
fait, la façon dont on procède, dans un premier temps, on souhaite reconvertir
ou requalifier des employés qui sont en technologies de l'information déjà,
mais qui travaillent sur des technologies qui sont soit désuètes soit en voie
de l'être. C'est pour ça qu'on a mis en place l'Académie de transformation
numérique pour permettre à ces employés-là de se requalifier dans des
technologies plus porteuses. C'est déjà des gens qui sont au sein de la
fonction publique, donc on sait qu'ils souhaitent embrasser une carrière dans
la fonction publique. Donc, la capacité de rétention avec ces gens-là, elle est
déjà démontrée. Ça, c'est un premier élément.
Un deuxième élément, on fait beaucoup
d'opérations de visibilité, des vitrines inversées pour montrer quels sont les
projets du gouvernement, parce qu'on a des projets qui sont attractifs par
eux-mêmes, à savoir, là, l'identité numérique. C'est un défi technologique très
important, j'ai, derrière moi, là, des personnes qu'on a recrutées du secteur
privé parce que les défis qu'on leur proposait étaient à la hauteur de leurs
aspirations. Je vous présente notre sous-ministre adjoint à la Transformation
numérique, sous-ministre adjoint à la sécurité de l'information, à la
Cybersécurité, qui ont vu dans ce que... puis ceci sans égard à ceux qui
étaient déjà là, puis qui sont des soldats de la première heure, puis qui sont
d'une compétence extraordinaire, puis mon Dieu que je vous aime bien. Donc,
mais c'est pour dire que les projets qu'on met de l'avant sont attractifs, ont
une valeur d'attractivité, le ministère de la Cybersécurité et du Numérique
aussi, parce que ces talents-là ne sont plus dilués dans des ministères dont la
vocation est autre, donc ils se retrouvent vraiment au sein d'un ministère ou
cette expertise-là est valorisée.
Troisième élément, vous l'avez soulevé, M.
le député, la question salariale, évidemment. Le gouvernement du Québec, on
joue, là, grosso modo, à peu près à 25 % en bas de ce qui se fait sur le
marché de nos grands compétiteurs qui sont les sociétés d'État, qui sont les
grandes villes du Québec et qui sont les entreprises privées. Ceci étant dit,
je ne pense pas que d'essayer d'entrer dans une espèce de surenchère salariale
va nous amener là où on va aller. Premièrement, on n'a pas la flexibilité de
faire ça. Vous savez, les négociations de convention collective, c'est un
processus qui est long, alors que l'entreprise privée, elle est capable de
s'ajuster du jour au lendemain.
Donc, ce qu'on fait, c'est plus
travailler, maintenant, en collaboration avec l'écosystème. Par exemple, vous
le savez, là, mon collègue à l'Économie a annoncé des zones d'innovation. Bien,
nous, après ça, on s'en va vers ces zones d'innovation là. Et le Centre
québécois d'excellence numérique a le mandat de développer des antennes.
Pourquoi? Parce que ce savoir-faire-là, on veut être capable... Je vous donne
un exemple, M. le député, Yoshua Bengio, on n'a pas les moyens, au gouvernement
du Québec, de payer un personnage de ce calibre-là. Par contre, en collaborant
avec le Mila, dans nos projets...
M. Caire : ...on peut
travailler avec M. Bengio sur nos projets, s'associer à M. Bengio, bénéficier
de son expertise, de son savoir-faire, et c'est un peu plus comme ça qu'on va
travailler, donc en collaboration puis en... avec l'écosystème, on est capable
d'aller... Puis même, je vous dirais, au niveau de l'écosystème, eux vont être
contents, parce qu'eux non plus n'ont pas intérêt à se lancer dans une
surenchère salariale, parce que, oui, ils ont plus de moyens, mais, à un moment
donné, «sky is not the limit», là.
M. Kelley : Merci, M. le
ministre. Juste une question sur ce centre de conformation. Il y a environ
combien de personnes qui font les formations informatiques chaque année, les
gens qui sont vers la fin peut-être de leur carrière, où, quand même, leurs
expertises dans une certaine technologie viennent à la fin d'une vie? Alors, il
y a combien de personnes chaque année qui sont reformées un petit peu dans
l'informatique?
M. Caire : Bien, compte tenu
que la mesure est assez récente, donc que la mise en place complète de l'Académie
de transformation numérique s'est terminée en 2021, fin 2020, début 2021, pour
l'ensemble du parcours... Parce que mettre en place l'académie a été une chose,
mais offrir des parcours qui étaient vraiment en fonction de la vision
gouvernementale de la transformation numérique, ça, c'était autre chose. Donc,
c'est relativement récent, d'une part, et, d'autre part, je vous dirais que les
ministères et organismes ont encore la gestion de leurs ressources humaines.
Donc, nous, ce qu'on va faire, avec le sous-ministre, c'est de s'assurer des
orientations qu'on va prendre en matière de transformation numérique, de faire
des choix technologiques aussi, parce qu'on ne veut pas avoir une espèce de
macédoine de technologies, là, ça prend une interopérabilité, et chaque
ministère et organisme va nous soumettre un plan de transformation numérique.
Donc, à partir du moment où on a défini les objectifs de transformation
numérique puis qu'on a priorisé les systèmes, les besoins technologiques vont
être mieux connus, puis, à partir de là, bien, vers quels centres de formation
on va orienter nos employés, on va être plus à même de le savoir. On a déjà des
chiffres, M. le député. Là, je ne les ai pas en ma possession, mais je m'engage
à les transmettre à la commission, là.
Une voix : ...
M. Caire : Oui, mais je veux
dire avec une ventilation par formation. C'est ça que vous voulez avoir,
monsieur, qui a fait des formations en cybersécurité, entre autres? Je vais
vous transmettre ça, M. le député, je vais les déposer à la commission. Là, ce
n'est pas un secret d'État, là, ça fait qu'il n'y a pas de problème, on va
s'assurer de vous avoir ça d'ici la fin de la journée.
M. Kelley : Parfait.
Honnêtement, j'étais juste curieux pour savoir ça. Suite à notre discussion, je
trouve ça... Bien, c'est très intéressant, mais c'est sûr que ce n'est pas
facile, parce que, ça... la technologie change rapidement. Alors, pour l'État,
de faire... de courir après les technologies de temps en temps, c'est une bonne
chose qu'on ait un centre de formation, mais je suis juste curieux combien de
gens sont comme obligés de faire ça en général.
M. Caire : Bien, c'est pour
ça... Si je peux me permettre, M. le député, c'est pour ça qu'on est... on veut
s'inscrire maintenant, avec le ministère de la Cybersécurité et du Numérique,
dans un processus de formation continue. Malheureusement, quand on travaille en
technologies de l'information, on est un éternel étudiant, là; il faut être
conscient de ça quand on embrasse une carrière comme celle-là, on est un
éternel étudiant, on va être en apprentissage toute sa carrière.
Malheureusement, je vous dirais que cette gestion-là, cette vision-là de la
gestion des talents au sein du gouvernement n'a peut-être pas toujours été
présente, mais on va s'assurer, avec l'académie et le ministère, de changer
cette dynamique-là.
M. Kelley : Parfait. Il y a
combien de temps qu'il reste, M. le Président?
Le Président (M. Simard) : Il
vous reste six minutes, cher collègue.
M. Kelley
: Merci, M.
le Président. Alors, je vais aller sur un autre sujet. Peut-être qu'on va
poursuivre notre discussion après. Mais je reviens sur la question que j'ai
posée à vous en Chambre. En octobre 2021, vous avez dit dans une entrevue avec
Patrice Bergeron, de La Presse Canadienne, qu'il est clair qu'il y a dans le
monde des groupes bien organisés, bien financés, des hackers qui sont des
groupes qui sont organisés et financés par les... des États qui nous ciblent.
C'est une des raisons pourquoi j'ai posé une question en Chambre, parce que
c'est clair que, depuis le 1ᵉʳ octobre 2021, c'était sur votre radar déjà qu'il
y a des États qui ciblent nous, qui ciblent nos systèmes, qui ciblent nos
entreprises, et maintenant, après la guerre qui a commencé en Ukraine, on a
clairement entendu des menaces de M. Vladimir Poutine, puis, lui et... il
menace sur des... beaucoup de différentes formes, on peut dire ça comme ça. Des
fois, c'est nucléaire, mais c'est clair qu'une attaque... une cyberattaque est
toujours une possibilité. L'autre jour, quand même, The Five Eyes ont lancé
encore un appel à toutes les démocraties, les États de l'Ouest d'être très,
très vigilants, parce que, selon eux autres, selon leurs informations...
M. Kelley : ...c'est
possible qu'il y ait une grosse attaque qui va être lancée contre nous. Et on
sait, on a vu des exemples en Allemagne ou quand même en Ukraine, quand
l'Ukraine a été attaquée par la Russie, une cyberattaque, ça a eu des ruptures
de service partout dans le monde parce qu'on est hyper interconnectés comme ça.
Et quand même la White House, la semaine dernière, a repris un petit peu
certaines mesures. Ils ont communiqué clairement avec les secteurs privés des
États pour dire : Assurez-vous que vous êtes prêts pour quelque chose, une
attaque.
Alors, je veux savoir parce que, quand
j'ai regardé sur le site web de votre ministère, je n'ai pas nécessairement vu
un signe clair ou un message clair du gouvernement du Québec pour dire à nos
entreprises, à tout le monde : Être prêts, communiquez avec nous,
travaillons tous ensemble. Je ne dis pas que ce n'est pas de votre intention de
ne pas le faire, ou quand même que vous n'avez pas peut-être déjà parlé avec
tout le monde, mais c'est juste... c'est intéressant qu'on arrive dans une
situation maintenant ou la défense nationale est un petit peu déléguée vers les
tous États, et j'inclus aussi les municipalités. Tout le monde doit être prêt
parce que, comme je dis, je répète, on est interconnectés.
• (9 h 50) •
Alors, encore, je sais que vous avez
mentionné un centre de cyberdéfense qui est déjà en place au sein de le
gouvernement. Mais encore, M. le ministre, quelles actions est-ce que vous avez
prises, mais aussi c'est quoi votre intention de continuer d'informer la
population? Parce qu'honnêtement je suis loin d'être un expert dans ce sujet,
mais je suis allé regarder dans les Foreing Affairs, The Economist,
quand même juste regarder dans La Presse, Le Journal de Montréal
ou du Québec, puis on voit que, ce sujet, ça revient souvent. Mais les gens ne
comprennent pas trop comment la cyberdéfense marche non plus. C'est juste une
question pour vous et une grosse, longue question, et j'ai hâte de juste vous
entendre sur qu'est ce que le Québec a fait depuis la guerre en Ukraine a commencé
et depuis qu'on a reçu des menaces comme une démocratie, de la Russie.
M. Caire : Bien,
premièrement, M. le député, on a pris cette situation-là très au sérieux, puis
ça semble niaiseux comme réponse, là, mais je vous dirais malheureusement trop
d'organisations se disent : Voyons donc, voire si les Russes vont
s'intéresser à moi. Et je ne je ne vais pas donner d'idées à personne, mais
faites juste imaginer, faites juste imaginer si on attaquait Hydro-Québec et
qu'on réussissait à cesser la production d'électricité, en plein mois de
février, dans le nord-est des États-Unis, pas juste au Québec, parce qu'on
fournit de l'électricité aux Américains, là, ça fait que, s'ils voulaient
attaquer les Américains, on est une belle courroie de transmission. Alors,
on... puis ça, ce n'est pas pour donner des idées à personne, parce que sachez
que tout le monde est déjà pas mal au courant qu'Hydro-Québec est une cible. Il
y en a d'autres, il y en a d'autres, puis là, je vais me garder une petite
gêne, mais il y en a d'autres. Il y aurait d'autres façons d'attaquer
l'économie du nord-est des États... bien, des États-Unis et du Canada. Donc, on
prend ces menaces-là très au sérieux.
Maintenant, qu'est ce qu'on fait?
Premièrement, dans le dernier budget, le ministère des Finances nous a octroyé
une somme de 100 millions de dollars consacrée exclusivement à la
cybersécurité. Vous admettrez que c'est quand même un montant qui est
conséquent. Alors, qu'est ce qu'on veut faire avec ça? Bien, on veut renforcer
tout le réseau de cyberdéfense. On a identifié avec le sous-ministre adjoint,
M. Waterhouse, on a identifié quelles étaient les cibles potentielles pour
une cyberattaque. Qu'est-ce qui nous ferait mal? Alors, sans aller dans le
détail, penser à tous nos réseaux de distribution. J'ai parlé du réseau de
distribution électrique, mais toutes les autres, toutes les autres chaînes de
distribution, et donc ce qui y est associé, deviennent potentiellement une
menace. Donc, on les a identifiés. Dans le cas où ce sont des infrastructures
critiques contrôlées par l'État, on a alloué des ressources supplémentaires,
ressources humaines, mais des ressources financières et des ressources
matérielles parce que la cyberdéfense évidemment nécessite aussi des outils de
défense. Donc, on a alloué des sommes supplémentaires pour aider ces
organisations-là à augmenter leur niveau de défense, de surveillance. On a
aussi une entente qu'on a signée avec le Centre de la sécurité des
télécommunications du Canada qui est l'organisation qui s'occupe de la
cyberdéfense canadienne. Donc, on a une entente signée avec eux qui nous permet
des échanges d'expertises, des échanges de technologies et, évidemment, des
échanges d'informations. On s'inscrit évidemment dans les réseaux CERT qui sont
les réseaux d'alerte...
Le Président (M. Simard) : Très
bien. Vous pouvez finir votre phrase, vous savez.
M. Caire : On y
reviendra.
Le Président (M. Simard) : On
est en alerte, mais pas à ce point-là.
M. Caire : Je suis à a CERT,
M. le député, souvenez-vous de ça.
Le Président (M. Simard) : Très
bien...
Le Président (M. Simard) : Alors,
merci à vous deux, chers collègues. Je cède maintenant la parole au député de
René-Lévesque, qui dispose de 16 minutes.
M. Ouellet : Merci
beaucoup, M. le Président. Donc, à mon tour de vous saluer, M. le ministre. On
va commencer par le bordel informatique, vous connaissez ça, dans l'opposition,
vous l'avez critiqué.
M. Caire : ...c'est du
passé.
M. Ouellet : Bien, c'est
du passé? Une nouvelle du 10 février 2022 : Bordel informatique, déjà
une tempête au ministère de Caire. Un mois après la création du ministère, M.
le ministre, vous perdez votre sous-ministre, Monsieur Guy Rochette. Monsieur
Rochette était avec nous lorsqu'on a fait plein de projets de loi, justement,
pour nous amener à la création de l'ITQ et aussi à la création du ministre...
du ministère, pardon, de la Cybersécurité. Un audit dévastateur faisait état de
problèmes de sécurité et de risques de défoncer des budgets et des retards
importants a amené au congédiement, proprement dit, du sous-ministre.
Je vais vous citer, parce qu'on va
travailler ensemble sur les réponses que j'essaie d'obtenir : «Le
ministère de la Cybersécurité admet que sa nouvelle administration ne répond
pas aux attentes et il promet des changements radicaux.» Ça ne se passe pas à
votre goût, vous voulez corriger la situation et vous dites que ce n'est pas
vrai que le ministère va devenir un nouveau CSPQ, avec vous comme ministre, ça
n'arrivera pas. Vous avez confirmé que plusieurs problèmes existaient avec
Infrastructure technologique Québec, mais vous avez refusé de commenter le
départ à la retraite du sous-ministre. Donc, j'aurais deux questions. Donc,
qu'est-ce qui s'est passé? Pourquoi le départ du sous-ministre suite à cet
audit? Et surtout, quels sont les changements radicaux que vous voulez opérer
suite à la création de ce ministère, qui, je pense, a créé de nombreuses
attentes pour les Québécois et Québécoises?
Le Président (M. Simard) : M.
le ministre.
M. Caire : Je suis tout
à fait d'accord avec vous, je pense que les attentes sont très élevées, et de
ce fait, vous comprendrez que notre obligation de résultat est directement
proportionnelle aux attentes. Ce qui s'est passé, c'est assez simple, en fait,
c'est qu'on a opéré trois transformations en même temps. La première, c'est
qu'on est passé du CSPQ, qui était une organisation très large, là, qui
couvrait vraiment très large, trop large, vers l'ITQ, une organisation qui
visait à se concentrer sur les infrastructures. Pour la raison que le ministère
n'était pas encore dans les cartons, à ce moment-là, l'ITQ a eu des mandats
pour lesquels l'ITQ n'était peut-être pas la meilleure organisation pour
répondre à ces mandats-Là.
Est arrivée la pandémie en même temps. On
s'est retrouvés avec des problèmes de bande passante parce que, là, vous
comprendrez que le télétravail a explosé d'une façon exponentielle, je veux
dire, on est passés de presque rien à à peu près tout le monde. Donc, il
fallait, très, très, très rapidement, régler nos problèmes de bande passante.
Puis vous savez que, dans ce temps-là, ça veut dire qu'on met les ressources
qu'il faut là-dessus. Il fallait aussi développer les outils collaboratifs, il
fallait développer les outils bureautiques. Il fallait permettre à nos employés
de continuer la prestation de services de façon transparente pour le citoyen.
Mais pour l'organisation, c'est une charge de travail qui a été complètement
hallucinante. Et là-dessus, je veux juste peut-être prendre quelques secondes
pour saluer la dévotion des employés qui ont réussi cet exploit-là. Parce qu'on
parle de ce qui ne fonctionne pas, mais je pense qu'il faut être honnêtes puis
parler de ce qui a été un succès, et ça, c'en était un.
Et parallèlement à ça, on est dans un
projet, l'identité numérique, qui est absolument nécessaire, je pense que tout
le monde en convient, en raison, notamment, des événements de bris de sécurité,
puis du fait qu'au XXIᵉ siècle il faut se lancer là-dedans. C'est un défi qui
est technologiquement extrêmement important, que l'ITQ avait à relever, pour
lequel l'ITQ n'avait pas nécessairement toute l'expertise et le savoir-faire...
Donc, il fallait mettre en place cette
organisation-là en même temps. Donc, je vous dirais, là, c'est un petit peu la
tempête parfaite qui s'est... qui s'est produite. Quant au fait de
M. Rochette, comme vous l'avez dit, c'est un départ à la retraite. C'est
son choix. Puis je n'ai pas à... Je ne tiens pas à commenter ça, mais
aujourd'hui, avec la création du ministère et je vous dirais que cette
situation-là a conduit à la logique du ministère. Et aujourd'hui, bien, ce
qu'on est capable de faire avec ce ministère, puis en quoi on va être capable
de changer radicalement les choses, c'est que chaque organisation va être
responsable d'un créneau pour lequel il y aura une expertise.
Vous avez derrière moi les sous-ministres
associés, vous avez Monsieur Rodrigue, le sous-ministre. Et c'est là où on est
capable de dire : Bon, bien, la cybersécurité va être confiée à des
experts en cybersécurité. Avant ça, il y en avait un petit bout à l'ITQ, un
petit bout au SSDPITN. Là, c'est un sous-ministériat adjoint qui s'occupe de la
cybersécurité, c'est un sous-ministériat adjoint qui va s'occuper de tout ce
qui est transformation numérique, un sous-ministériat adjoint qui va s'occuper
des infrastructures, un sous-ministériat adjoint qui va s'occuper des produits
SAGIR, du service à la clientèle puis Kathleen qui va discipliner tout ce
monde?
M. Ouellet : En quoi
c'est radicaux comme changement...
M. Ouellet : ...M. le ministre,
qu'est ce qu'il y a de radical là-dedans? Parce que, tu sais, je vous cite, là,
tu sais, vous étiez fâché : Ça n'a pas de bons sens, ça va être radical.
Là, ce que j'entends, c'est un ministre qui parle de réorganisation de ses
fonctionnaires pour une meilleure efficacité. Mais qu'est ce qu'il y a de
radical là-dedans? Est-ce que vous avez trop réagi en disant «ça n'a pas de bon
sens», ou...
M. Caire : Non, non,
non.
M. Ouellet : Qu'est-ce
qu'il y a de radicaux, là... de radical - excusez, là?
M. Caire : Non, ce qui
est radical, c'est les attentes de résultat, c'est le respect des échéanciers,
des budgets. C'est le fait que maintenant l'ensemble de notre organisation est
évalué selon l'atteinte ou non des résultats et non pas selon la quantité de
moyens qui vont être déployés pour ne pas atteindre les objectifs.
Donc, je vous dirais qu'il y a
maintenant... Je vous disais tantôt : On a une obligation de performance
qui est proportionnelle aux attentes que le ministère a suscitées. Et donc à
partir de là, je vous dirais, il y a plus de tolérance au fait qu'on va
dépasser les échéanciers, au fait qu'on ne respectera pas les budgets, au fait
qu'on ne livrera pas ce qu'on est supposé livrer. Donc, là-dessus...
• (10 heures) •
M. Ouellet : ...pour
suivre ces obligations-là?
M. Caire : C'est en
élaboration. C'est en élaboration. Il n'y en avait pas parce que, comme je vous
disais, c'était éclaté un peu partout. Donc, en le mettant au sein du
ministère, on a maintenant cette coordination-là, on peut la faire beaucoup
plus facilement. Et, oui, il y a un tableau de bord qui est en élaboration.
M. Ouellet : Est-ce que
ça serait une information qui pourrait être transmise aux membres de la
commission justement pour comprendre quelles sont les obligations qui sont
fixées? Parce que, tu sais, vous mettez beaucoup de pression, beaucoup
d'exigences chez vos fonctionnaires.
M. Caire : Oui.
M. Ouellet : Je
comprends qu'il y a l'obligation de résultat, mais, par souci de transparence,
pour que les Québécois aient confiance dans ce... Tu sais, je n'ai aucun
discrédit sur les personnes.
M. Caire : Non, non,
non.
M. Ouellet : C'est un
nouveau ministère, il y a beaucoup d'attentes.
M. Caire : Mais la
réponse à votre question, c'est oui, M. le député.
M. Ouellet : O.K.
M. Caire : Ça va me
faire plaisir de vous transmettre cette information-là : les échéanciers,
les dates, les produits. Vous comprendrez qu'il y a des révisions qu'on est à
compléter compte tenu de ce que je vous ai dit.
M. Ouellet : Oui.
M. Caire : Il y a des
échéanciers qu'on va revoir, là, parce qu'il faut être aussi réaliste par
rapport à notre capacité de livrer, par rapport aux ressources financières
qu'on a, aux ressources humaines qu'on a, aux ressources matérielles. On va
revoir l'échéancier, mais une fois que ce sera fait, M. le député, ça va me
faire plaisir de vous communiquer l'information.
M. Ouellet : À la...
avec la commission.
M. Caire : Bien, je la
communiquerais... Je ne la déposerais pas... M. le Président, je ne la
déposerais pas à la commission, mais ça me fera plaisir de le communiquer au
député.
M. Ouellet : O.K. On va
aller dans le détail de deux projets pour lesquels je veux avoir de
l'information. On avait un projet d'éliminer 457 centres de traitement
informatique. Vous aviez sélectionné cinq technologies que les organisations
publiques pouvaient utiliser, mais la plupart ont choisi Amazon. Or, vous avez
retiré le droit de conclure cette entente. Je me souviens, M. le ministre, vous
nous avez dit aussi que la consolidation de ces centres-là permettrait
d'économiser 210 millions par année.
J'ai deux questions : On est rendus
où avec les économies? Est-ce que ça va nous coûter vraiment plus cher? Parce
que là les gens veulent savoir, est-ce que les économies sont au rendez-vous.
Si oui, à quelle hauteur? Sinon, quels sont les coûts supplémentaires? Et le
quasi-monopole octroyé à Amazon aurait risqué de créer une dépendance
technologique, donc pourquoi reculer? Je ne dis pas que c'est une mauvaise
nouvelle, là. Nous, on n'était pas favorables à ça, à ces grands monopoles là
puis surtout que c'était des monopoles étrangers. Donc, j'aimerais savoir c'est
quoi la suite à donner pour ce qui est justement de la consolidation, bien, de
ces centres technologiques là, là.
M. Caire : Oui. Bien, en
fait... Puis une correction, puis vous parlez de 450, c'était le chiffre
initial, mais comme j'ai déjà eu l'occasion de le dire : Après révision,
on était rendus à 570, là. Ce n'était pas le fun comme nouvelle, mais bon.
Ceci étant dit, M. le député, c'est
exactement le projet... pas je vous disais, on est en train de faire une
révision des échéanciers, des cibles, puis je vous explique pourquoi. Ce que la
pandémie a amené comme information, je vous dirais, nouvelle et par rapport
justement au fait d'aller en infonuagique public - infonuagique public,
bizarrement, c'est quand on fait affaire avec les entreprises privées, là - par
rapport à un nuage gouvernemental. Souvenez-vous, notre hypothèse de départ
était 20-80. On se disait à peu près 20 % des informations du gouvernement
vont être conservées dans le nuage gouvernemental, 80 qu'on pourra envoyer en
infonuagique public. Et ça, c'était basé sur la criticité de l'information,
jusqu'à quel point... Par rapport à notre loi, par exemple, la PRP, jusqu'à
quel point l'information, elle est critique et elle doit être protégée. Un
élément qui s'est ajouté dans notre réflexion, qui n'était pas là au départ,
puis qui va amener une révision assez importante du projet, c'est jusqu'à quel
point l'information, elle est névralgique aux missions régaliennes de l'État.
Donc, qu'est ce qui arrive, par exemple, une hypothèse, si un fournisseur d'un
pays autre que le Canada décide de mettre une politique politique
protectionniste? Le contexte de guerre en Ukraine...
10 h (version non révisée)
M. Caire : ...de
pandémie nous amène ce genre de scénario là. Qu'est-ce qui arrive avec nos
données puis jusqu'à quel point l'État est capable de fonctionner et de donner
sa prestation de services aux citoyens? Donc, on est à réviser le pourcentage de
données qu'on garderait dans le nuage gouvernemental, qui va augmenter de
façon, je dirais, quand même conséquente. Ce qui va nous amener à réviser aussi
le projet initial. Donc, notre capacité de stockage, donc le nuage
gouvernemental, de ce fait, doit lui aussi être plus important. Donc, on est
tout en train de réviser cette...
M. Ouellet : ...on est à
quoi, 70-30, 60-40?
M. Caire : 70-30, peut-être
même effectivement 60- 40, effectivement. Donc, vous comprendrez, là, qu'il
faut augmenter peut-être même du simple au double notre capacité de stockage,
donc ça.... Mais, en même temps, tu sais, on l'a vu, là, dans une situation de
crise, l'État doit continuer à fonctionner. Quelles sont les données dont on a
besoin pour que l'État continue à fonctionner de façon transparente pour les
citoyens? C'est ça qui va amener la prévision de notre capacité.
M. Ouellet : Oui. Parce
qu'au départ vous disiez : Écoute, il y a 20 % de données critiques
qui ne devraient pas. Là, vous... le contexte a changé. La dépendance aux
technologies étrangères aussi vous a amené à la réflexion. Donc, ce n'est plus
tant les données critiques, mais l'accès aux données ou l'accès qu'on pourrait
donner à une tierce partie qui semble vous préoccuper et qui vous préoccupait
moins à l'époque.
M. Caire : En fait,
c'est surtout l'accès duquel on pourrait être coupé comme État si un
fournisseur de services, pour une raison qui relève d'un autre État, décidait
de couper ces accès-là. Ce n'est pas tant que, nous, on a peur que nos données
se fassent voler, là, on n'est pas... i c'est ça que vous avez compris de ma
réponse, M. le député, ce n'est pas... ce n'est pas ça.
M. Ouellet : Parfait.
M. Caire : C'est plus jusqu'à
quel point, par exemple, un Amazon ou un Microsoft de ce monde, pour des
raisons indépendantes de leur propre volonté, un contexte de conflit, par
exemple, se ferait ordonner de couper ses accès avec tout, tout pays autre que
les États-Unis. Puis là, nous autres, nos données sont stockées là. Tu sais, on
fait quoi, là? Tu sais, nous, on est coupés de nos données. Donc, il faut
s'assurer que les données dont l'État a besoin pour assurer ses missions
essentielles sont conservées dans le nuage gouvernemental. Donc, ce n'est plus
seulement la criticité en termes de préjudice. Alors, quel est le prix? Parce
que, là, on l'évalue. Est-ce qu'il y a un préjudice à se faire voler telle et
telle donnée? Si le préjudice est important, on garde ça en nuage
gouvernemental puis, si le préjudice n'est pas important, mais à ce moment-là,
on peut aller en infonuagique publique. Maintenant, ce n'est plus que ça. Il y
a aussi est ce que cette donnée là, même si elle n'est pas critique au sens
préjudiciable, est ce qu'elle est nécessaire aux opérations de l'État? Si oui,
il faut la garder dans le nuage gouvernemental.
M. Ouellet : Bien, c'est
une excellente nouvelle. On a eu les discussions ensemble, mais moi, le 80-20,
je ne l'accepte pas. Moi, c'était beaucoup plus que le gouvernement soit maître
de sa propre technologie. On a eu les arbitrages ensemble. Vous avez fait
référence au passé, au manque de connaissances, au manque d'outils. La création
du ministère et la création de l'ITQ a amené au gouvernement d'avoir des
nouveaux moyens pour adresser ces réalités-là. Donc, je suis content
d'apprendre qu'on va changer vers peut du être 70-30, du 60-40. Je vous invite
aussi puis j'invite les équipes à donner aussi la sécurité et l'accessibilité
de ces données-là au gouvernement le plus possible.
Moi, ma crainte, je vous l'ai partagée
puis je la partage encore. C'est sûr qu'il y a des solutions tout cuit dans le
bec avec Amazon ou d'autres sources qui semblent être résistantes aux attaques,
mais c'est une dépendance qu'on avait discutée, et je suis content de voir...
puis je n'ai jamais pensé que vous aviez des œillères, mais là, ça semble être
plus ouvert. Donc, je pense que les Québécois et Québécoises vont être contents
de voir qu'on avance. Et moi, je plutôt du type qu'il devrait y avoir plus de
possession de données à l'intérieur du gouvernement et moins dans
l'infonuagique publique, mais au privé. Mais ça, ça sera....
M. Caire : Mais, si je peux
me permettre, M. le député.
M. Ouellet : Oui, bien,
je... Allez-y.
M. Caire : Oui. Mais la
préoccupation de ne pas être dépendant d'un fournisseur de services demeure.
Même si on s'en va à 60 %, on ne veut pas que ce soit 60 % chez un
seul fournisseur. On veut quand même... puis on veut aussi que nos entreprises
québécoises puissent bénéficier de l'entente de service avec le gouvernement.
M. Ouellet : Il ne reste
pas beaucoup de temps. J'aimerais peut-être aborder deux derniers sujets. Le
premier, l'identité numérique. Je vous en ai fait mention tout à l'heure. Dans
les médias ou dans l'espace public, il a été question de la reconnaissance
faciale aussi comme outil. Est-ce que votre réflexion a évolué? Je sais quel
les gens avaient beaucoup de craintes. On peut le mettre sur notre iPhone, si
on le décide, de mettre la reconnaissance faciale. C'est un choix. Ce n'est pas
tout le monde qui est obligé. Mais ça a amené beaucoup de questionnements. Il y
a des gens qui ne voulaient pas. Donc, l'identité numérique, de la façon dont
ça va se déployer pour avoir accès. Moi, je... tu sais, je fais affaire avec
les services gouvernementaux comme un citoyen. J'ai fait mon rapport d'impôt
comme tout le monde avec Revenu Québec. J'ai eu accès à de l'information,
des courriels sécurisés, la double identification. Ça, ça va. Je pense que ça,
ça sécuriser les gens. Mais la reconnaissance faciale, il y a encore des grands
questionnements...
M. Ouellet : ...vous en êtes
où là-dessus, est-ce que ça sera une option, est-ce que ça sera une obligation?
Bref, s'il vous plaît, les citoyens de Québec ont beaucoup de questions.
Pouvez-vous nous éclairer?
M. Caire : Bien, une
obligation, jamais, jamais. Il n'y aura jamais d'obligation. D'ailleurs, le
mandat qui est donné au sous-ministre adjoint à la transformation numérique,
qui s'occupe maintenant du programme, du Service québécois d'identité
numérique, c'est de dire : c'est des options. Alors ce qu'on va livrer dans un
premier temps va être novateur par le fait d'identifier le tiers de confiance,
à savoir vous voulez vous identifier numériquement, puis moi, je dis : Qui va
être capable d'identifier et d'authentifier le fait que vous êtes bien la
personne que vous prétendez? C'est... il y a une bonne complexité. Puis ça,
c'est la base de l'identité numérique qu'on va livrer bientôt.
Maintenant, à ça va se rajouter des
services, la porte-feuille numérique, la reconnaissance faciale. Je pense
que... et le mandat qui est donné, c'est de prévoir que cette technologie-là
puisse être implantée, déployée et offerte, mais jamais imposée, jamais
imposée, de la même façon que l'identité numérique ou la prestation de services
numériques ne sera jamais la seule façon d'interagir avec le gouvernement, là.
Les gens qui veulent interagir avec le gouvernement... pourront continuer à le
faire.
Le Président (M. Simard) : Merci.
Alors merci à vous deux. Je cède maintenant la parole à nouveau au député de
Jacques-Cartier.
• (10 h 10) •
M. Kelley : Ah! c'est mon
tour. Parfait.
Le Président (M. Simard) : C'est
votre tour et vous disposez de 21 minutes, cher collègue.
M. Kelley : J'ai pensé que
c'était peut-être le tour de mon collègue... Lesage. Bien, merci beaucoup.
Monsieur le ministre, on revient sur notre échange sur la cyberdéfense,
cybersécurité. Je ne sais pas si vous avez des éléments à ajouter à la dernière
question que j'ai posée, mais encore je reviens juste sur l'état de la
situation. Et encore, peut-être aussi, quelles actions vous avez prises avec le
secteur privé pour discuter des meilleures pratiques pour une cyberattaque de
quelqu'un avec les compétences comme un état comme la Russie?
M. Caire : Oui. Bien, comme
je... là, ce que je vous expliquais, c'est qu'on est membres du réseau... donc,
c'est une espèce de réseau international qui permet de s'échanger de
l'information sur... qui des vulnérabilités, par exemple le fameux Log4Shell a
été rendu public à travers ce réseau là pour permettre aux organisations de se
prémunir contre les vulnérabilités qui ont été identifiées.
On organise aussi, et là je suis quand
même assez fier d'annoncer que les 16 et 17 juin prochains, le Québec sera
l'hôte du premier colloque en Cybersécurité, identité et utilisation,
justement, des marqueurs biométriques, qui va réunir les provinces canadiennes,
le gouvernement fédéral et les territoires. Donc, ici à Québec, on va discuter
de cybersécurité dans une perspective où la cyberdéfense... le pire ennemi,
monsieur le député, de la cyberdéfense, ce sont les silos, c'est le repli sur
soi-même. Les attaquants travaillent en collaboration. Bon, on a tous entendu
des histoires où on s'échange l'information sur le dark web, des rançongiciels,
etc., et je pense que les États, notamment, mais les organisations civiles
aussi, que ce soient les milieux académiques, universitaires, la société
civile, l'entreprise privée, il faut qu'il y ait ces zones de collaboration là.
Plus notre réseau est étendu, plus il y a de l'échange d'informations, plus il
y a une capacité à se prémunir contre des attaques.
Je vous donne un exemple qui est connu,
l'aluminerie Alouette a été effectivement victime d'une cyberattaque d'une
organisation russe. Je n'irais pas jusqu'à dire qu'elle a été soutenue par le
gouvernement russe, mais ce n'est pas impossible. Alors, le sachant, à travers
un réseau où on s'échange cette information-là, bien, on est capable
d'identifier le type d'attaque, le type de vulnérabilité qui a été exploitée,
la façon dont l'attaquant s'y est pris pour exploiter la vulnérabilité et
comment nous, on peut se prémunir contre ça. Mais évidemment, pour ça, la
prémisse de base, c'est d'avoir ce réseau d'information là. Malheureusement, le
réflexe, dans ces circonstances-là, il est de taire l'attaque, là, comme si
c'était une maladie honteuse que quelqu'un ait réussi à traverser nos systèmes.
Donc, c'est toute cette culture-là aussi qu'il faut changer à travers l'action
du MCN. Donc, comme la MCN, maintenant, a une mission sur le territoire
québécois d'assurer la coordination de la cybersécurité, bien, là, ça va nous
permettre de faire ça aussi. Ces actions-là sont en cours avec le sous-ministre
adjoint.
M. Kelley : Merci beaucoup.
C'est une bonne nouvelle qu'il va y avoir une conférence avec les autres
provinces et le gouvernement fédéral. Présentement, j'ai mentionné avant les
cinq yeux, le "five eyes", notre fameux regroupement des cinq états
qui partagent l'information...
M. Kelley : ...la sécurité. Je
sais que ça, c'est le niveau fédéral, mais sur quelque chose comme la
cyberdéfense, est-ce que vous avez eu des discussions avec vos partenaires, au
niveau fédéral, pour ce type de défense aussi? Est-ce que c'est plus souvent
des forces policières qui discutent entre eux? Si le gouvernement fédéral a une
certaine information à donner... Je sais, M. le ministre, peut-être, vous ne
pouvez pas répondre complètement à mes questions pour des raisons de sécurité,
mais c'est vraiment juste une question de bien comprendre et savoir quel type
de collaboration est déjà en place entre vous puis vos partenaires fédéraux,
et, j'imagine, c'est aussi un travail d'équipe au sein de votre gouvernement.
M. Caire : Oui. Bien,
écoutez, oui, comme je l'ai déjà mentionné, effectivement, je ne pourrai pas
aller très loin dans les échanges d'informations. Ceci étant dit, M. le député,
pour le bénéfice des députés, et des députés seulement, il y a peut-être des
briefings techniques qu'on pourrait organiser pour vous donner ces
informations-là. Il y a des informations que je peux donner à des
parlementaires que je ne donnerai pas dans l'espace public, là, pour des
raisons que vous comprenez parfaitement, et ça me fera plaisir de le faire. On
l'a fait, dans le passé, sur les CTI. On pourra le faire sur l'identité
numérique et les questions de cybersécurité.
Ceci étant dit, ce que j'ai déjà dit, tout
à l'heure, au collègue de René-Lévesque, c'est qu'on a une entente formelle
avec le gouvernement fédéral, notamment le Centre de la sécurité des
télécommunications. On a des échanges avec d'autres organismes fédéraux qui ont
le mandat d'assurer la sécurité sur le territoire canadien. Des ententes de
collaboration pourraient être à venir. À travers le colloque dont je vous
parle, on souhaite, effectivement, ouvrir une discussion pour formaliser les
partenariats avec le gouvernement fédéral, mais aussi les autres provinces. Au
niveau de l'élaboration d'une identité numérique, on travaille déjà en
collaboration avec l'Ontario et la Colombie-Britannique. Donc, ce n'est pas le
Québec seul, là, c'est vraiment un travail de collaboration, parce qu'on vise,
évidemment, une interopérabilité de l'identité numérique, pour qu'elle soit
utilisable partout au Canada, pas simplement au Québec, et avec... même chose
pour nos partenaires ontariens, de la Colombie-Britannique et, potentiellement,
des autres provinces.
Donc, on est dans cette dynamique-là de...
Justement, je disais : Le pire ennemi qu'on a, c'est le repli sur
soi-même. Ça, c'est ce qu'on veut éviter à tout prix. Puis, évidemment, les
provinces canadiennes, le gouvernement fédéral, les territoires sont un
partenaire naturel pour nous, là, avec qui on veut développer au maximum les
collaborations potentielles.
M. Kelley : Parfait. Puis on
verra la suite de cette conférence, mais j'espère que M. le ministre va
vraiment presser le gouvernement fédéral d'être peut-être un petit peu actif.
Je le dis dans le sens qu'ils sont bien tranquilles. J'ai déjà cité l'exemple
de «White House», le président Joe Biden, qui prend le leadership pour informer
la population en général que c'est une menace réelle, et de ne pas sous-estimer
les capacités de nos adversaires, quand même, s'ils travaillent en
collaboration, eux autres, contre nous. Alors, je sais que le Québec a déjà
créé un ministère, vous êtes réactifs, c'est une bonne chose, mais au bout de
la ligne, le gouvernement fédéral est responsable pour la défense nationale.
Nous avons un rôle très important à jouer, alors ne lâchez pas, M. le ministre.
Mais passer ce message-là, parce que ça m'inquiète beaucoup.
M. Caire : C'est une
inquiétude que je partage, M. le député, soyez... Et j'adhère à tout ce que
vous venez de dire.
M. Kelley : Exactement. Et
quand même, si jamais il y a une façon d'avoir plus de financement de la part
du gouvernement fédéral, peut-être, ce n'est pas une mauvaise chose pour toutes
les provinces. Parce que je pense qu'aussi comme... la capacité de nos centres
de services scolaires et des commissions scolaires à quand même défendre leurs
expertises et leurs centres informatiques, parce que ça, c'est où on peut
peut-être trouver des failles, des places qui sont vulnérables. Et, oui, c'est
sur nous de bien préparer ces organisations, mais en même temps, là, nos
ressources, comme une province, nos finances sont limitées, dans ce sens aussi.
Et maintenant, on est vraiment dans un contexte, comme j'ai dit avant... Ça
prend juste une ouverture, dans un niveau comme une province, pour avoir des dommages
partout en Amérique du Nord, quand même. Ce n'est pas impossible que ça
commence avec une attaque comme ça.
M. Caire : Non, non, non.
Bien, j'ai donné un exemple, M. le député, là, d'une façon d'attaquer tout le
nord-est des États-Unis, en passant par le Québec, qui est un exemple
archiconnu, là, c'est pour ça que je n'ai pas révélé rien à personne. Mais il y
en a d'autres. Vous avez raison, il y en a d'autres. Il y a une... Les
économies, maintenant, sont intimement liées, avec le reste, évidemment, du
Canada, bien sûr, qui est un partenaire économique naturel, mais avec les
États-Unis aussi. Et donc il faut...
M. Caire : ...la pire chose
qu'on pourrait faire, c'est de penser qu'on est à l'abri parce que le Québec
n'intéresse pas les États délinquants. Ce serait une grave erreur, vous avez
tout à fait raison.
M. Kelley : Et juste une
question, M. le ministre. Ce n'est peut-être pas votre responsabilité, mais
dans un scénario où le pire arrive et Hydro-Québec est fermée, là, on n'a pas
d'électricité pour une semaine. Cette situation comme ça peut avoir des
conséquences extrêmement graves. Je pense que juste des personnes vulnérables
dans notre société, si jamais c'est au milieu de l'été puis on a une vague de
chaleur, tout ça arrive, c'est une tempête parfaite. Est-ce que c'est peut-être
mieux pas de... on ne veut pas crier de peur dans la population, mais, en même
temps, quand je pense que la pandémie, la première fois, on a été obligé de
fermer presque toutes les entreprises, tout le monde a eu la demande de rester
à la maison, on a vu que le papier toilette était acheté en masse par la
population, mais c'est juste les gens n'étaient un petit peu pas prêts. Si
jamais je dois faire face à une crise comme ça, j'achète quoi exactement à
l'épicerie? Je pose la question. Si jamais on a comme deux ou quatre jours où
on n'a pas d'électricité, quel type de consignes on doit donner à la
population, au minimum, aux bases? C'est peut-être mieux de continuer
d'informer la population qu'il y a une réelle situation dans le monde
présentement. Il y a toujours une possibilité que quelque chose comme ça peut
arriver. Alors, tout le monde doit avoir une petite liste au minimum, je pense
juste à l'eau, des aliments, des choses qu'on peut garder et préparer très
facilement.
• (10 h 20) •
Alors, c'est juste... je ne sais pas si
vous avez eu des discussions avec votre collègue la ministre de la Sécurité
publique, mais c'est juste... je pose la question parce que je pense, au début
de la pandémie, quand on a fermé la porte, pas tout le monde a vraiment été
prêt à rester chez eux pour une semaine. Alors, c'est juste une question pour
vous. Qu'est-ce que vous pensez de ça?
M. Caire : Bien, c'est sûr
qu'au niveau de la sécurité publique, c'est leur mission de s'assurer d'avoir
des plans en cas de catastrophes, sinistres, etc. Donc, au niveau des sociétés
d'État, c'est la même chose, là. Comprenons-nous bien. M. le député, on va tout
faire pour que ça n'arrive pas. Évidemment, c'est la priorité, c'est la prévention,
c'est d'empêcher ces situations-là de se produire.
Ceci étant dit, il y a des scénarios qui
existent au cas où, puis je vous dirais même au niveau du gouvernement du
Québec, il y a des normes qu'on met en place qui se déploient notamment pour
nos centres de traitement d'information, de s'assurer qu'elles ont cette
capacité-là à fonctionner en mode autonome, et donc de continuer les opérations
et les services essentiels du gouvernement. Ça fait partie des normes qui sont
qui sont prescrites pour s'assurer qu'il y a quand même un minimum de services
qui pourront continuer sans qu'on revienne au pigeon voyageur, là,
comprenons-nous bien, et donc ces hypothèses-là sont mises de l'avant.
Mais ce qu'on fait aussi, ce qu'on a
commencé à faire, je vous dirais, là, il y a peut être, quoi, un an, un an et
demi, c'est des simulations, là, qu'est ce qui arrive et comment vous allez
réagir? Tantôt je vous parlais de ce qu'on faisait, là, pour se préparer, mais
c'est des choses maintenant qu'on fait et qu'on veut faire de plus en plus.
Alors, vous êtes dans la situation où il se passe ça, ça, ça, vous réagissez
comment? O.K., vous réagissez comme ça, donc là, maintenant, il se passe ça. Et
aux dires des gens qui ont qui ont fait ces scénarios-là, c'est extrêmement
stressant et extrêmement formateur, puis ça, c'est des choses qu'on va faire
aussi pour que les principaux acteurs... Je ne pense pas qu'on puisse préparer
toute la population à réagir à une situation critique, mais ce qui est
important dans ces situations-là, c'est que ceux qui ont le mandat de donner
les services, de donner les directives, de coordonner l'action qui va venir
aider la population, qu'eux soient prêts, qu'ils sachent comment réagir, qu'ils
soient capables de le faire rapidement et qu'ils soient capables de le faire
rapidement et de façon coordonnée.
Donc, ça, on travaille aussi là-dessus de
notre côté, au niveau du ministère. Je sais que la Sécurité publique a ses
plans, ses scénarios pour être capable de réagir à des situations critiques.
M. Kelley : Parfait. Merci
beaucoup. Avec les élections qui s'en viennent, oui, il y a des élections, M.
le Président.
M. Caire : C'est-u vrai? Au
Québec.
M. Kelley : Je veux juste
savoir... je sais qu'en mars, on a le logiciel Kapersky qui...
M. Kelley : ...a été trouvé.
Je veux juste savoir c'était quoi la suite après ça, les enquêtes que vous avez
faites, des choses que vous avez trouvées, peut-être juste un état de la
situation sur cet événement. Mais aussi, est-ce que vous êtes confiant
présentement qu'Élections Québec, le DGEQ est prêt de s'assurer que nos
élections sont sécures puis bien protégées?
M. Caire : Bien, écoutez,
pour le Directeur général des élections du Québec, vous comprendrez que ce
n'est pas sous ma juridiction. On est tout à fait disponibles, si le DGEQ a
besoin de nos services. Le ministère a cette possibilité-là de signer des
ententes, même avec des organismes qui ne relèvent pas des organismes sous sa
juridiction. Ce n'est pas le cas, là, à ma connaissance, le DGEQ n'a pas signé
d'entente avec nous. En fait, oui, donc je viens de dire une niaiserie, ce qui
est exceptionnel.
Des voix : Ha! Ha! Ha!
Le Président (M. Simard) : Y
a-t-il consentement afin que votre collègue puisse intervenir?
M. Kelley : Oui, oui.
Le Président (M. Simard) : M.
le sous-ministre, on vous connaît, vous êtes un habitué, mais néanmoins,
auriez-vous l'amabilité, pour les fins de longs travaux, de vous présenter,
s'il vous plaît?
M. Rodrigue (Pierre E.) : Oui.
Pierre Rodrigue, sous-ministre de la Cybersécurité et du Numérique. En fait, on
a un lien avec le Service canadien de renseignements et de sécurité et le
Centre canadien de la sécurité et des télécommunications, qui font une veille
pour essayer de détecter toute menace susceptible d'avoir un impact sur le
processus électoral canadien, incluant le processus électoral qui va avoir lieu
au Québec, là, cette année.
De telle sorte que... Et j'ai rencontré
personnellement le Directeur général des élections. On s'est entendu que, dès
que nous, on avait de l'information qui nous venait du gouvernement fédéral,
qu'on est en lien, donc, notre Centre gouvernemental de cyberdéfense est en
lien avec le Directeur général des élections pour les soutenir s'il pouvait y
avoir soit des menaces, appréhendées ou réelles, là, pour être capables d'agir
au bon moment.
Le Président (M. Simard) : D'autres
commentaires? M. le député de Jacques-Cartier.
M. Kelley : Non, pour moi, ça
va. Je pense que je vais passer à un autre sujet. Je reviens un petit peu,
juste sur les commissions scolaires puis les centres de services. M. le
ministre, avez-vous un plan puis peut-être un budget dédié pour mettre leurs
systèmes peut-être plus à jour?
M. Caire : Oui. Bien, en
fait, comme je le disais tout à l'heure, M. le député, dans le dernier budget,
il y a un 100 millions sur deux ans qui nous a été octroyé par le ministère des
Finances. Ce que nous sommes à faire, avec l'ensemble des organismes qui sont
sous la juridiction du MCN, dont les centres de services et les commissions
scolaires, c'est de s'assurer du déploiement de 15 mesures minimum au niveau de
la sécurité de leurs systèmes d'information. Donc, ça, c'est le plan à court
terme.
Après ça, bien, il y a différents projets
qui pourront être mis de l'avant, comme je vous disais, sur la consolidation de
ces réseaux-là. L'idée étant, avec la mise en place du Centre opérationnel de
cyberdéfense, au ministère de l'Éducation et un autre au ministère de
l'Enseignement supérieur, de s'assurer que cette organisation-là, qui fait
partie du réseau de cyberdéfense du gouvernement du Québec, va elle-même fédérer
les entités sous sa juridiction. Et là on a adopté récemment une directive sur
la cybersécurité qui va permettre de déployer ça à l'intérieur.
Donc, c'est un réseau plus local qui fait
partie d'un réseau plus gouvernemental, là. C'est un petit peu ça qu'on va être
en train de mettre en place au niveau des centres de services et des
commissions scolaires.
M. Kelley : Parfait. Sur un
autre sujet, c'est plus... pour les entreprises privées, présentement, d'être
rassurées pour une cyberattaque et les dommages qui peuvent être faits par une
attaque. C'est très difficile de trouver un assureur pour ça. Un petit peu, si
je comprends bien, c'est lié avec le Code civil et c'est aussi un domaine pas
mal nouveau. On a vu, malheureusement, depuis une couple d'années, là, des
entreprises, des petits entrepreneurs du Québec qui ont toutes leurs données
volées par un pirate qui garde ça pour la cryptomonnaie. Juste, peut-être, vos
commentaires sur la...
M. Kelley : ...en général,
mais aussi c'est quoi, peut être, la prochaine étape pour travailler avec des
entreprises privées puis des assureurs partout dans le monde, pour trouver les
façons que ce type de vol peut être protégé puis trouver un système qui marche
bien, j'imagine, c'est très complexe parce que, comme je dis, c'est nouveau
puis déterminer qu'est-ce qui arrive exactement... facile. J'imagine que mon
collègue de Saint-Jérôme a des idées là-dessus, mais bref, je veux juste
entendre, vous, sur ce sujet-là.
M. Caire : Pas juste
là-dessus. Bien, en fait, M. le député, une chose qui marque le pas, c'est la
loi 25. Donc, quand on a travaillé avec votre collègue de Lafontaine, le
PL 64, qui est devenu la loi 25, sur la protection des renseignements
personnels, cette loi-là fait obligation maintenant, donne des responsabilités
aux entreprises publiques et privées quant à la protection des renseignements
personnels qui va amener, je vous dirais, une conscience, une conscientisation,
devrais je dire, supérieure, quant aux mesures à déployer à l'interne pour,
justement, protéger ces renseignements personnels là et donc, de façon plus
large, protéger les systèmes d'information de ces entreprises-là. Ça va aussi
avoir un impact sur la collecte des renseignements personnels. Puis ça, ce
n'est pas anodin. Pourquoi? Parce que, si vous ne collectez que les
informations dont vous avez besoin, il se peut que vous en collectiez moins et
de ce fait, que vous soyez moins attractif pour les pirates. Parce que, tu
sais, le pirate, il ne va pas... il va attaquer une entreprise qui a une
plus-value à attaquer.
• (10 h 30) •
Maintenant, avec la venue du ministère, on
est aussi en discussion avec le ministère de l'Économie et de l'innovation pour
cette année, parce qu'eux, ils ont reçu des budgets pour aider les entreprises
à se transformer numériquement de façon globale. Donc, nous, on dit :
Bien, il y a peut-être une part de ce budget-là qui pourrait nous aider, puis
on travaille avec le sous-ministre adjoint à la sécurité de l'information à la
cyberdéfense... cybersécurité, pardon, à élaborer un programme. Quelles sont
les quinze mesures que nous, on fait au niveau de nos organismes publics?
Est-ce que c'est applicable au niveau des entreprises privées? Quelles sont les
mesures, je vous dirais, minimum, qu'il faut qui soient mises dans les
entreprises privées pour, un, s'acquitter de ses responsabilités par rapport à
la loi 25, et deux, pour augmenter sa capacité de cyberdéfense? Donc
évidemment, il faut qu'il y ait de l'accompagnement. Donc, ça, c'est tout ce qu'on
va être capables de faire. Donc, qu'est ce qu'on en fait, qui peut nous aider?
Donc, il faut s'entendre avec des partenaires parce qu'évidemment le
gouvernement ne se mettra pas à se déployer partout dans les entreprises
privées pour les aider à monter leur système. Donc, est ce qu'il y a des
organismes qui peuvent nous aider à faire ça, aider les entreprises, les
accompagner là-dedans? Puis évidemment, des montants d'argent, là, comme je
vous dis, on est en discussion avec le MEI pour dire : Bon, bien, pour
cette année, avoir un montant d'argent, voir un peu l'évaluation des besoins,
puis l'année prochaine, dans des demandes budgétaires du MCN, de dire :
Bien, quels sont les budgets dont on a besoin pour accompagner surtout nos
petites et nos moyennes entreprises, hein. Comprenons-nous bien, M. le député,
là, je pense que des grandes entreprises n'ont pas besoin nous pour cela.
Le Président (M. Simard) : Merci,
cher collègue. Merci. Je cède maintenant la parole au député de Jean-Lesage,
qui dispose de 16 minutes.
M. Zanetti : Oui. Merci, M.
le Président. J'ai une inquiétude par rapport au fait que nos données
personnelles, là, soient possédées par... bien, pas possédées, disons, mais
entretenues, là, par des entreprises privées. Dans les discussions précédentes,
vous disiez : Effectivement, on ne veut pas être dépendants d'une
entreprise privée, donc on va s'assurer toujours d'avoir plusieurs
fournisseurs. Si j'ai bien compris, la structure serait une minorité des
données des Québécoises et Québécois seraient, disons, gardées par le public,
une majorité par plusieurs fournisseurs privés. Qu'est ce qui arrive si ces
fournisseurs-là, privés, ou fusionnent ou le plus gros achète ses compétiteurs
ou encore sont tous achetés par un même propriétaire sans fusionner? Est-ce
qu'on ne se rend pas là dans une vulnérabilité tout aussi pire que s'il y avait
un seul fournisseur?
M. Caire : Alors, M. le
député, là, vous allez devoir faire un aveu public. Vous avez mis des micros
dans ma salle de conférence et vous avez écouté notre discussion d'hier.
M. Zanetti : Non.
M. Caire : Parce qu'en fait
votre question est excellente, M. le député, parce que c'est exactement la
discussion que nous avons eue hier avec les équipes, de se dire : O.K.,
mais qu'est-ce qui arrive? Parce que si on signe un contrat avec une
entreprise, cette entreprise-là fait l'objet d'une acquisition par une autre
entreprise. Là, il se passe quoi?
Alors, là-dessus, il y a plusieurs...
d'abord, il y a plusieurs réponses que je peux vous donner tout de suite. Déjà,
avec la loi 25, il y a un certain nombre de choses qui sont prévues par la
loi sur le transfert des renseignements personnels, si renseignements
personnels il y a. D'autre part, la politique qu'on met en place au
gouvernement du Québec...
10 h 30 (version non révisée)
M. Caire : ...du Québec, puis
ça, là-dessus, je veux être bien clair, M. le député, les données sensibles -
donc, on peut penser que les renseignements personnels sont de cette
catégorie-là. Tu sais, il n'y a pas que les renseignements... il y a d'autres
types de données sensibles, mais les renseignements personnels en font partie -
seront gardés dans le nuage québécois du gouvernement du Québec. Donc, il n'est
pas question, au moment où on se parle, puis il n'a jamais été question dans
tout ce programme-là que des données qui ont un haut niveau de sensibilité
soient confiées au nuage public, le nuage public étant formé des entreprises
privées. C'est un peu paradoxal, parce que le nuage privé, il est
gouvernemental, puis le nuage public, il est formé par les entreprises privées.
Mais il n'a jamais été question de les envoyer à un nuage public. Je vous
dirais même que la réflexion qu'on fait avec l'équipe présentement, puis compte
tenu de la pandémie, compte tenu surtout de la guerre en Ukraine, compte tenu
des impacts que ça peut avoir, c'est d'étendre cette obligation-là non
seulement aux seules données sensibles, mais aussi aux données qui seront et
qui sont nécessaires au gouvernement pour l'accomplissement de ses missions
essentielles. Donc, la situation... Et même, inversement, il risque d'y avoir
moins de données confiées au nuage public et plus de données du gouvernement
gardées dans le nuage privé gouvernemental pour s'assurer que, un, nous gardons
les données qui sont sensibles, et deux, nous gardons aussi les données qui
sont essentielles à l'accomplissement de nos missions essentielles.
M. Zanetti : Quel genre de
données seraient donc confiées au nuage public, donc opéré par des compagnies
privées? Parce que j'essaie de voir, au fond, les risques auxquels on s'expose,
parce qu'on parle d'acquisitions d'entreprises entre elles, mais il pourrait à
la rigueur y avoir un État qui se fait une société d'État, qui rachète des
gestionnaires de données publiques puis qui pourrait avoir un avantage
géopolitique sur un autre pays puis dire: Aha! Je possède des données qui
t'appartiennent. Donc, quel genre de données seraient exposées à ce genre de
risques là?
M. Caire : Bien, comme je
disais, c'est la discussion qu'on avait, à savoir: Est-ce que,
contractuellement, par exemple, si on a une entente avec une entreprise selon
certains critères relatifs au profil de cette entreprise-là et que ces
critères-là changeaient, est-ce qu'il pourrait y avoir contractuellement une
possibilité pour nous de soit annuler le contrat, soit renégocier? Donc, ça,
c'est des réflexions qu'on est à faire justement pour s'assurer que, bon, bien,
tu sais, nous, on a fait affaire avec telle, ou telle, ou telle entreprise,
puis là, bien, pour un contexte d'acquisition qui est tout à fait logique et
légal, et je ne conteste pas ça, mais ça change quand même les éléments qui
nous ont amenés à prendre la décision. Donc, est-ce que, contractuellement, on
peut avoir des clauses qui nous prémunissent contre ça? Ça, c'est la première
question.
Et la deuxième question: Bien, quels sont
les critères? Bien, je vous dirais: Écoutez, prenez toute donnée, dans le fond,
qui ne cause pas... dont la diffusion publique ne cause pas de préjudice ni à
un individu ni aux opérations de l'État. Par exemple, le nombre de kilomètres
de routes au Québec, je ne pense pas que de rendre ça public, ça vient
d'hypothéquer la capacité du MTQ, ou avoir une idée du patrimoine forestier du
Québec, ou du patrimoine hydrique, ou où sont les gisements miniers au Québec,
là, c'est des informations qui normalement, de toute façon, ont un caractère
qui est public et dont la diffusion publique n'apporte pas de préjudice ni à
l'individu, ni à l'État, et donc, à partir de là, on peut les rendre... Donc,
je vous dirais qu'il y a ça. Il peut y avoir des données peut-être un peu plus
sensibles que ça qui seraient quand même confiées, parce que le préjudice est
faible ou le risque est faible. Ça... Mais je pense que ça vous avait été
présenté, si je ne m'abuse, là, quand on a fait le briefing sur la
consolidation des CTI, sur la... comment on mesure la sensibilité d'une donnée.
À ça, M. le député, va s'ajouter un nouveau critère, qui est: Est-ce que la
donnée, elle est nécessaire à l'accomplissement d'une mission essentielle de
l'État?
M. Zanetti : Donc, si on suit
votre logique, il n'y a aucune donnée de santé, par exemple, qui pourrait être
confiée à des entreprises privées?
M. Caire : Non.
M. Zanetti : O.K.
M. Caire : Puis, si on parle
de données par exemple financières du ministère des Finances ou de l'Agence du
revenu ou des renseignements sensibles sur vous comme individu, donc que la
diffusion publique de ces informations-là serait préjudiciable à votre
personne...
M. Caire : ...non.
M. Zanetti : Ni des données
biométriques liées à un processus d'identification.
M. Caire : Encore moins.
Encore moins. Encore moins.
M. Zanetti : Encore moins.
Parce que j'essaie de voir, c'est quoi, l'avantage de faire ça. Si, de toute
façon, on va se doter d'un système public gouvernemental de stockage de
données, c'est quoi, l'avantage de recourir à du privé? Surtout que, tu sais,
j'imagine, mettons, dans dix ans, on décide que, je ne suis pas un expert
là-dedans, mais il y a un changement technologique qui s'impose. Puis là, bien,
on a dix fournisseurs, incluant le gouvernement du Québec, puis là il faut tout
synchroniser ça. Est-ce qu'on n'est pas en train de se magasiner juste plus de
troubles? Alors que, si on disait : Tout est au public. Quand il s'agit de
faire un changement technologique ou un changement dans la façon dont on
organise les choses, bien là, bang! c'est tout d'un coup. Tu sais, c'est un peu
comme le système de santé en ce moment. Tous les GMF ont leur petit système
informatique. Puis là, bien, on essaye de faire quelque chose de commun puis
c'est difficile, puis c'est compliqué, puis ça fait quinze ans qu'on en parle,
sinon plus. Est-ce que ça ne serait pas plus simple de juste dire : On en
a juste au public. «That's it». Puis ils n'ont aucun risque, aucun problème,
aucune complication.
• (10 h 40) •
M. Caire : Bien, en fait,
non, parce qu'il y a quand même plusieurs avantages à envoyer une quantité non
négligeable d'information du gouvernement vers un nuage public, à savoir, ces
entreprises-là, elles sont très innovantes, évidemment, parce que le contexte
de concurrence fait en sorte qu'elles sont... elles investissent des sommes
très importantes en recherche et développement. Donc, ça, c'est un avantage
parce qu'on va bénéficier de cette innovation-là de deux façons, d'une part en
étant client, puis d'autre part en étant un partenaire. Il peut y avoir des
échanges à ce niveau-là, d'une part.
D'autre part, il n'en demeure pas moins
que stocker cette information-là, ça voudrait dire, nous, augmenter notre
capacité de stockage comme opérateur unique, alors que là, en ayant recours aux
services d'infonuagique publics, bien, on est un client, mais, je veux dire,
l'entreprise, elle, est capable de diviser la facture de ses frais de
fonctionnement à travers tous ces clients. Donc, on est capables d'avoir un
prix qui est plus bas que ce qu'on aurait si nous étions l'opérateur unique.
Et l'autre élément qui est important,
c'est les ressources humaines. C'est qu'à un moment donné, si on augmente notre
capacité de stockage, bien, on augmente le besoin en ressources matérielles et
aussi en ressources humaines. Et, comme vous le savez, puis surtout dans des
domaines qui sont des technologies de pointe, bien, ces ressources-là, elles ne
sont pas légion. Puis c'est un peu ce que j'expliquais tantôt, c'est qu'il faut
qu'on soit capable de partager avec l'écosystème. L'écosystème étant, oui, les
autorités publiques, mais la société civile et les entreprises privées. Il faut
qu'on soit capables de partager ces ressources-là. Il faut qu'on trouve des
façons de partager ces ressources-là, parce que, un, la ressource... il manque
des ressources, et, deux, personne n'a intérêt à se lancer dans une escalade
des salaires, puis une espèce de guerre des salaires où, de toute façon, le
gouvernement ne sortira pas gagnant, parce que, comme je l'expliquais, on n'a
pas la capacité de l'entreprise privée à augmenter les salaires puis à changer
les conditions de travail. Tu sais, dans notre cas à nous, ça fait l'objet de
négociations, puis ça fait l'objet de négociations qui n'impliquent pas que ces
employés-là, qui impliquent très souvent plusieurs corps d'emplois du
gouvernement du Québec. Donc, on n'est pas dans la même dynamique.
Donc, on a... je pense qu'il faut bien
circonscrire nos besoins. Et ce qui est fondamental à l'État doit rester sous
le contrôle de l'État. L'État ne doit pas être dépendant dans ses
infrastructures critiques, dans sa cyberdéfense et dans le stockage des données
essentielles à ses missions, ne doit pas être dépendant, mais pour le reste, je
pense qu'on a tout avantage à faire... à travailler avec l'écosystème. Puis je
vous rajouterai peut-être un dernier élément, c'est que c'est bon aussi pour
l'économie du Québec, parce que ça amène des investissements. Puis on ne parle
pas juste, ici, d'entreprises étrangères, même si ces entreprises-là
investissent des montants conséquents au Québec, il y a aussi des belles
entreprises québécoises qui se développent. Puis ce genre de contrat-là avec le
gouvernement, ça les aide dans leur progression, ça les aide dans leur
stratégie de développement.
M. Zanetti : Sur la question
du prix, là, bon, vous dites essentiellement, il y a trois arguments :
faire appel au privé, c'est ouvrir la porte à avoir plus d'innovation parce
qu'ils ont un plus grand capital pour investir là-dedans. Ensuite, vous
dites : Ils sont capables de fournir un prix plus bas, parce qu'ils ont
plus de volume que ce que, nous, on est capables comme gouvernement parce qu'on
est plus petits. Puis il y a l'enjeu de la ressource humaine. Les ressources
humaines qui vont travailler sur le stockage de ça, essentiellement, ça va être
les mêmes personnes, là, c'est-à-dire à peu près, dans l'écosystème, là, tu
sais...
M. Zanetti : ...Il n'y aura
pas... Il ne va pas apparaître des informaticiens parce qu'on fait affaire avec
des compagnies privées. La seule différence, c'est qu'au lieu de travailler
pour le gouvernement, ils vont travailler pour des compagnies privées avec des
plus gros salaires, puis on va payer ces salaires-là en leur achetant des
services essentiellement.
Ça fait que, moi, ce que je me demande,
c'est on ne serait pas mieux de payer convenablement ces experts-là en
informatique pour qu'ils soient au service du gouvernement du Québec plutôt que
de toute façon, les payer au même prix, mais par le biais d'une entreprise qui
va se faire du profit avec ça. Puis la raison pour laquelle je pose cette
question-là, c'est d'une part, est-ce que ça a été calculé qu'on ferait une
économie, ou est-ce que c'est une estimation de même?
Puis l'autre affaire, c'est que, moi, je
suis inquiet de l'autre dimension qui n'est pas juste la dimension financière.
Si on se rappelle la commission Charbonneau, là, ils ont dit une des raisons
pour laquelle, il y a eu de la corruption, des problèmes, des augmentations
dans les prix des projets puis des bordels incroyables, c'est entre autres
parce qu'il manquait de l'expertise à l'interne pour évaluer les contrats, la
justesse des affaires qu'était en train de faire l'État, tu sais. Parce que
l'État a voulu économiser de l'argent en ne payant pas comme il faut ses
experts, bien, il a juste recouru aux experts du privé qui, eux, avaient un intérêt
contraire à celui de l'État, faire du gros cash, puis on s'est fait... -
imaginez ici... insérez le verbe qui vous plaît, là - et ça n'a pas été
agréable, puis il faut qu'on s'en souvienne. Puis, moi, je me dis : Là, on
est en train de créer collectivement un nouveau ministère, il ne faudrait pas
qu'on fasse les mêmes erreurs. Ne faudrait- il pas qu'on investisse pour avoir
nos experts payés à des salaires concurrentiels qui travailleraient vraiment
pour nous?
M. Caire : Bien, en
fait, la réponse à votre question, c'est : Oui, il faut qu'on paye pour
avoir nos experts, pour avoir cette expertise-là à l'interne, et on le fait. Je
vous rappelle respectueusement, M. le député, qu'on parle, depuis tout à
l'heure, de construire et d'opérer et d'entretenir et de faire évoluer un nuage
du gouvernement du Québec. Donc, c'est... Et non seulement du gouvernement du
Québec, mais pour stocker les données qui ont le plus haut niveau de
sensibilité, donc qui vont nécessiter les mesures de sécurité les plus élaborées
et donc qui vont nécessiter les expertises de pointe pour être capables de
s'assurer que ces systèmes-là sont bien protégés. Et donc non seulement, oui,
nous allons avoir ces experts-là, mais nous allons avoir des experts de haut
niveau pour être capables de remplir cette mission-là, qui est fondamentale,
parce qu'il y aura une attractivité pour ces données-là de la part
d'organisations délinquantes, de gouvernements délinquants, là. On va se dire
les vraies affaires. Alors, c'est sûr que... Et ça il n'est pas question de
confier ça à l'entreprise privée, là. C'est de l'expertise du gouvernement du
Québec pour le gouvernement du Québec, par le gouvernement du Québec. Donc, la
réponse à votre question, c'est oui.
Maintenant, vous dites : On va payer
les salaires... De toute façon, on va payer les salaires des individus qui vont
stocker. C'est-à-dire qu'on va payer une partie du salaire, pas la totalité.
Parce que justement, là, qu'on parle de facture partagée parce qu'on est un
client parmi tant d'autres, on va payer une partie des infrastructures qui vont
être utilisées, on va payer une partie de l'innovation qui va être créée. Mais
justement on économise parce qu'on ne paye pas l'entièreté de la facture. On
paye une fraction de la facture, et c'est là, oui, nécessairement il y a des
économies.
Et dernière réponse à votre
question : Oui, ça a été calculé. Ce calcul-là, il est en cours de
révision parce que, comme je l'ai expliqué tout à l'heure, le volume de données
que nous allons conserver dans le nuage québécois va augmenter, donc
nécessairement les frais pour déployer le nuage gouvernemental vont augmenter.
Donc, nécessairement, les économies générées par cette opération-là vont
diminuer, mais on va rester quand même dans un range d'économies intéressantes
pour le gouvernement du Québec.
M. Zanetti : En
terminant, une dernière question...
Le Président (M. Simard) : Très
rapidement.
M. Zanetti : Je perçois
une espèce d'incohérence dans un argument que vous amenez pour dire : On
donne des contrats au privé. C'est-à-dire que c'est une question de ressources
humaines, on n'a pas intérêt à se lancer dans une surenchère de prix. Mais là,
en même temps, vous dites : On le fait...
Le Président (M. Simard) : Alors,
nous n'aurons pas le temps d'entendre cette réponse à cette bonne question,
néanmoins. Désolé, cher collègue de vous couper ainsi la parole.
M. Caire : De toute
façon, ça ne se peut pas que je sois incohérent, voyons donc.
Le Président (M. Simard) : M.
le député de Jacques-Cartier, à vous la parole. Vous avez 21 minutes.
M. Kelley : Merci
beaucoup, M. le Président. M. le ministre, je vais poser plusieurs questions
sur les dépenses qui sont disponibles dans le cartable, alors faire la vraie
révision des crédits.
On a eu des gros débats sur la qualité de
l'air dans nos écoles, des gros débats autour d'acheter des purificateurs de
l'air. Puis je vois dans...
M. Kelley : ...que votre
ministère a acheté une fois sur... je suis dans le secteur ici, G-6. Alors, sur
la ligne 197, une accusation d'un purificateur d'air HEPA pour 1 400 $ environ. Puis si on
va vers les lignes 494 et 495, nous avons plusieurs acheteurs pour le
purificateur de HEPA Air, une pour 3 000 $
puis une autre pour Air BULLDOG. Je veux juste savoir, ces purificateurs d'air
étaient achetés pour qui? Pourquoi?
M. Caire : Bonne question.
Bien, généralement, c'est parce que...
Une voix : ...
M. Caire : Oui, c'est ça que
j'allais dire. Généralement, ce genre d'équipement là, on va doter nos salles
de serveurs de ce type d'équipement là. Puis on me souffle à l'oreille que
j'étais dans la bonne direction. En fait, je l'ai même eu en stéréo, je vous
dirais, là. C'était le fun. Mais, bref, parce qu'il faut comprendre
qu'évidemment, une salle de serveurs, c'est une pièce qui est totalement
fermée. Alors, évidemment, il n'y a pas de fenêtre puis ce ne serait pas une
bonne idée d'en avoir, là, et donc... Et comme il y a quand même des gens qui
sont appelés à travailler dans ces endroits là, et comme vous le savez, bon,
bien, veut veut pas, tu sais, salle des serveurs, il faut quand même régénérer
l'air, il faut s'assurer d'avoir un air de qualité. Donc, voilà.
17
951
M. Kelley : Alors, on
est 100 % sûrs que ces purificateurs d'air sont utilisés pour mieux
circuler l'air pour protéger nos serveurs... n'étaient pas mis dans les bureaux
des employés de l'État?
• (10 h 50) •
M. Caire : Si je peux me
permettre, M. le député...
17
951
M. Kelley : Je vous
pose la question.
M. Caire : Mais c'est parce
que ce n'est pas pour assurer une qualité de l'air au serveur, le serveur...
c'est ceux qui travaillent dans ces centres de serveurs là. C'est pour les
individus qui y travaillent.
17
951
M. Kelley : O.K., mais
ce n'est pas nécessairement dans les bureaux ici, à côté, dans le bunker, et
tout ça.
M. Caire : Non, non, pas dans
le... surtout pas dans le bunker.
17
951
M. Kelley : O.K., mais
on peut... la qualité du bunker aussi.
M. Caire : Surtout maintenant
que je suis au Conseil du trésor, M. le député...
17
951
M. Kelley : J'ai
travaillé là deux années, alors... O.K., parfait, parfait, merci beaucoup.
17
951
M. Kelley : Une autre
chose qui revient souvent dans le cahier des différentes dépenses de votre
ministère sur les acquisitions des licences pour Adobe, Acrobat ou quand même
pour Zoom, Teams, je veux juste comprendre pourquoi c'est comme acheté
plusieurs fois pour environ le même montant. C'est toujours un truc comme 17 000 $ à 23 000 $ environ, dans ce
«range» là. Alors, pourquoi il y a comme... plusieurs fois on a acheté ça?
Est-ce que c'est tout pour votre ministère ou est ce que c'est pour aider les
autres? Je veux juste bien comprendre pourquoi on a plusieurs ajouts avec
plusieurs... comme différentes entreprises et pourquoi ça marche comme ça.
M. Caire : Bien, en fait,
non. Il faut comprendre que, quand on a créé le ministère, on a intégré l'ITQ.
L'ITQ a des... ce qu'on appelle des clients en plan, donc, qui donne des services
à différents ministères et organismes. Et donc il fallait acheter ces
licences-là, notamment pour les outils collaboratifs. Donc, le télétravail
nécessitait l'utilisation d'un outil collaboratif. Celui qui avait été choisi à
l'époque était Teams. Zoom, à ce moment-là, ça a été corrigé depuis, là, je
tiens à le préciser, mais Zoom, à ce moment-là présentait des failles de
sécurité à différents... Donc, on a essayé de limiter l'utilisation.
Maintenant, aujourd'hui, ça a été... ces problèmes ont été réglés. Donc, on va
essayer d'avoir cette diversité-là. Puis comme on était à Windows 365,
donc Teams était plus facile aussi à déployer.
Il faut comprendre, là, M. le député, ce
que je disais tout à l'heure, c'est qu'on passait d'une non-culture du télétravail
à tout le monde en télétravail. Donc, il y avait quand même une urgence à
mettre en place les outils pour s'assurer que l'État continuait à fonctionner.
Donc, essentiellement, oui, le ministère, évidemment, a des licences pour
l'utilisation de ces outils-là pour le ministère, mais on a aussi, avec ITQ,
des clients qui sont un plan chez qui on a déployé ces outils-là.
17
951
M. Kelley : Parfait.
M. le ministre, sur la ligne, dans le même tableau, 32 à 34, les ateliers de
l'ITQ, on parle d'un achat de...
M. Kelley : ...ça part de
montage pour les motocyclettes BMW de la SQ, et je veux juste comprendre c'est
quoi exactement?
M. Caire : C'est ça, c'est
pour le déploiement du RENIR sur les motos de la SQ, là, comme, il faut
installer le système de télécommunications. Donc, ce que je comprends, c'est
que ces supports-là visaient à pouvoir installer l'appareil de communication
sur les motos de la Sûreté du Québec.
M. Kelley : Merci. Si on
regarde maintenant les lignes 51 et 52, on a Broadnet Telecom Inc. pour la
réparation des déshydrateurs automatiques, on a une dépense de
24 000 $, puis une, après, pour 4 800 $. Alors, on est
au-dessus de la limite de 25 000 $, où on doit aller en appel
d'offres. Est-ce qu'il y a une raison pourquoi on a deux dépenses différentes?
J'imagine, c'est parce qu'il y a eu deux systèmes qui ont été obligés d'être
réparés? Je veux juste bien comprendre pourquoi on a divisé cette facture-là à
la place d'aller dans l'appel d'offres... Excusez-moi, il y a trois... 51 à 53,
24 000 $, 4 000 $ et 16 000 $.
M. Caire : Je vais consulter
mon cerveau puis je vous réponds à ça, monsieur...
M. Kelley : Ce n'est pas...
Prenez votre temps, M. le ministre.
M. Caire : Non, non, mais
c'est... Pendant qu'on cherche la réponse, M. le député, si vous avez d'autres
questions.
M. Kelley : O.K., on peut
continuer sur les autres, parfait.
M. Caire : Ce qui serait
l'hypothèse, c'est sur le Programme de consolidation des CTI, c'est ça que je
comprends, pour lesquels ces équipements-là étaient nécessaires. Mais là je
peux aller chercher plus d'informations, que je vous transmettrai.
M. Kelley : Parfait. On va
aller maintenant sur la ligne 249. Il y a une dépense avec IHS Global Inc.,
pour un achat de livres techniques, à 4 000 $. Est-ce que c'est
normal de dépenser 4 000 $ pour un livre technique? Est-ce que
c'était pour plusieurs livres? C'était pour quel type de service? C'est juste
un livre à 4 000 $?
M. Caire : Non, non, c'est
une quantité x de livres, mais il faut comprendre...
M. Kelley : O.K. Et je sais,
pour les technologies, des fois, d'acheter un livre, ça peut être coûteux, mais
c'est juste, à 4 000 $...
M. Caire : Remarquez que ce
serait mieux s'il était numérique, là, mais, bon, je dis ça, je ne dis rien.
M. Kelley : Il y a aussi une
couple de dépenses, des travaux de peinture. Partout, il y a des différents
exemples. Je veux juste comprendre : Est-ce que c'est l'habitude d'aller à
l'externe des services de l'État, du gouvernement pour les travaux de peinture
au sein des bureaux, des cabinets, puis pour les fonctionnaires? Pourquoi c'est
comme... À quel moment est-ce qu'on décide que c'est nécessaire d'aller pour
une ressource à l'externe, que... des services que nous avons, en attribution?
M. Caire : Là, vous parlez
pour des travaux d'entretien des bâtiments?
M. Kelley : Exactement. Ça
dit ici...
M. Caire : Bien, c'est la SQI
qui gère nos... En fait, c'est la SQI, M. le député qui gère les locaux du
gouvernement, là. Comme, dans l'installation du ministère, nous, on a déménagé
au carré D'Youville, au 900, carré D'Youville, puis je vous dirais que c'est...
toute l'installation, c'est la SQI qui gère ça, puis qui prend les décisions,
là.
M. Kelley : Il y a deux
achats... Je veux juste bien comprendre, parce qu'encore... Acquisition...
excusez-moi, sur la ligne 497 et 488, avec... STANEX. C'est l'acquisition de
matériel, des frais de réparation d'une UPS... J'espère qu'on ne parle pas d'un
véhicule de UPS, mais c'est des frais qui sont de 10 000 $, puis
après, une réparation pour une... Alors, l'acronyme, c'est quoi encore? Je veux
juste bien comprendre les dépenses de votre ministère pour ce travail qui a été
fait. C'est quoi exactement?
M. Caire : UPS, ce n'est pas
le courrier, c'est un bloc d'alimentation électrique de secours. Donc, c'est
des unités... Bien, tout à l'heure... Ça revient un petit peu à la question que
vous parliez... donc, que vous abordiez tout à l'heure. Ça permet justement une
alimentation en électricité en cas de panne de panne électrique, là, ça assure
l'autonomie des systèmes.
M. Kelley : Merci. Sur les
lignes 499 et 490, on a des travaux qui ont été faits sur la Station de Mont
Sainte-Anne, puis on a été obligés de payer 2 500 $ pour un droit de
passage pour aller sur le site de Mont-Sainte-Anne. Puis après ça...
M. Kelley : ...électricité, je
comprends, ça, c'est, probablement, pour des travaux qui étaient faits, mais quand
même, à 7 000 $, c'est juste de comprendre pourquoi on a été obligé
de demander le droit de passage et payer pour quelque chose que, j'imagine, ça
appartient... le gouvernement du Québec.
M. Caire : En fait, non.
C'est parce que c'est des tours de télécom qui sont pour le système RENIR, qui
sont situés à un endroit X. Donc, où la tour, oui, mais pour s'y rendre,
souvent, c'est des terres privées, et donc, là, nous on l'obligation de payer
pour l'entretien du chemin, parce que le propriétaire du terrain a des
obligations par rapport aux droits de passage, d'entretien de chemins, de
déneigement, etc. Mais nous, évidemment, il faut le compenser financièrement.
C'est pour nous donner accès à nos tours de télécom du système RENIR.
M. Kelley : O.K. Merci
beaucoup. Sur la ligne 524 et 525, Uline Canada Corporation, on a deux achats
pour les ameublements du bureau, un pour 7 500 $, un autre pour
presque le même montant, 7 500 $. Vous avez acheté quoi exactement
avec ce 14 000 $ pour les bureaux de votre ministère?
M. Caire : Je vous reviens.
• (11 heures) •
M. Kelley : Merci. Une autre
question, M. le ministre, je suis dans la même direction. Il y a plusieurs
appels d'offres... Excusez-moi, il y a plusieurs dépenses de 14 000 $, avec
Vidéotron, pour la location d'un service de fibre noire. Pourquoi il y a
environ... deux, trois, quatre, cinq, il y a cinq montants qui ont été versés à
Vidéotron? Si on met tout ça ensemble, c'est sûr que c'est plus que
25 000, puis on est obligés d'aller vers un appel d'offres. Alors, je veux
juste comprendre pourquoi il y a plusieurs dépenses au même niveau pour les
services de Vidéotron.
M. Caire : En fait, ce qu'on
me dit, c'est que c'est pour des clients qui sont différents. C'est des liens
différents, donc oui, c'est un même contrat, mais ce n'est pas nous avec
Vidéotron, c'est nous qui servons différents clients qui utilisent ce
service-là.
M. Kelley : Et quel type de
clients est-ce qu'on parle? Est-ce que c'est comme...
M. Caire : C'est des
clients... C'est des organismes publics qui sont en plan avec nous, là. Je peux
vous les donner, là. Vous avez, par exemple, MTESS qui est là, vous avez...
C'est ça, le MTESS, MAMH, c'est des clients qui sont en plan chez nous, qui ont
besoin de fibre noire. Donc, c'est le même service, mais réparti pour et par
différents clients qui sont en plan chez nous.
M. Kelley : Ce n'est pas une
critique envers Vidéotron non plus. Je sais que... L'accès et les services,
dans différents coins du Québec, sont différents par l'offre. Je reviens sur la
ligne... Et, si c'est possible, M. le ministre, juste avoir la liste des
différents clients qu'on se parle déposée. Si c'est possible, ça va être bien
apprécié.
M. Caire : Ça sera fait, M.
le député.
M. Kelley : Merci, M. le
ministre. Sur la ligne 284, vous avez fait une formation de sécurité de
l'information et de la cybersécurité avec KPMG. Est-ce que c'était une
formation qui était faite pour un employé en particulier ou est-ce que c'était
une conférence qui était donnée par KPMG pour votre cabinet?
M. Caire : La ligne 280?
M. Kelley : Excusez-moi, 284.
M. Caire : 284. On va vous
trouver ça. Ça serait une formation d'un employé chez nous, mais je vais vous
confirmer cette information.
M. Kelley : Parfait. Merci
beaucoup.
M. Caire : Parce que c'est
ça, KPMG fait partie des formateurs auxquels on a recours.
M. Kelley : Excellent. Puis,
dans le même sens, je sais qu'il y a un contrat pour un Richard, Audet, conseil
en gestion, pour accompagner votre ministère dans la... stratégique pour le
réseau gouvernemental de cyberdéfense pour 24 000 $. Est-ce que c'est
quelqu'un qui travaille toujours pour vous autres ou qui était vraiment là pour
mettre en place un petit peu les politiques et tout ça? C'est un expert, je
comprends, puis ce n'est pas grave.
M. Caire : C'est une
comprends un ancien haut fonctionnaire, là, qui vient nous aider à mettre en
place la nouvelle structure de gouvernance.
M. Kelley : Parfait. J'ai vu
que... Et ça, c'est plus aussi... Ce n'est pas nécessairement la dépense, M. le
ministre, mais je suis curieux, sur la ligne 326, Naviclub limitée, une
acquisition des antennes marines pour...
11 h (version non révisée)
M. Kelley : ...11 540 piastres,
c'est quoi exactement? Et j'imagine, c'est pour... ça doit connecter certaines
villes.
M. Caire : C'est la Sûreté du
Québec. Comme vous le savez, ils vont aussi patrouiller sur les cours d'eau.
M. Kelley : Ah, O.K. Alors, c'est
pour leur système d'informatique de bien fonctionner. Parfait. Et pourquoi des
dépenses de la SQ se sont trouvées dans vos crédits et pas dans sécurité
publique?
M. Caire : Parce qu'ils
sont... parce que c'est nous qui avons l'obligation de déployer le réseau. Puis
la Sûreté du Québec est un client, mais de notre réseau.
M. Kelley :
O.K. Merci. Merci pour ça. Oh, j'ai
eu un autre que j'ai trouvé intéressant. Donnez-moi... 154, Equinix Canada
Limited, des frais énergétiques pour 12 000 piastres. Pourquoi on a
payé eux autres pour les frais énergétiques?
M. Caire : Ça, c'est une
excellente question.
M. Kelley : Pas pire, hein.
M. Caire : C'est le... on me
dit que c'est notre centre de traitement de l'information à Montréal.
M. Kelley : O.K. Alors, c'est
pour payer une facture d'Hydro-Québec?
(Consultation)
M. Caire : C'est lui qui est
notre fournisseur à Montréal.
M. Kelley : Alors, le
fournisseur a chargé le gouvernement du Québec pour sa facture d'Hydro-Québec?
Parce que c'est juste marqué «frais énergétiques.»
M. Caire : Oui, c'est ça. Ils
nous refilent la facture d'électricité.
M. Kelley : O.K. Il y a
combien de temps qui reste?
Le Président (M. Simard) : Presque
quatre minutes.
M. Kelley : Quatre minutes.
Le Président (M. Simard) : Un
peu moins.
M. Kelley : Oh, sur la ligne 262,
M. le ministre, ITI Inc., acquisition de 185 disques rigides SSD pour 24 000 $.
Je veux juste comprendre. C'est quoi un disque rigide SSD?
M. Caire : Bien, c'est une
unité de stockage, puis avec une capacité de traitement, disons, je vais dire
ça, particulière. Une unité de stockage, là, c'est ce qu'on appelle en bon...
oui, c'est ça, un disque dur, excusez, je... ce qu'on appelle en bon français :
un disque dur.
M. Kelley : C'est comme...
M. Caire : Mais SSD, c'est ce
qui est.
M. Kelley : Oui, parce que
moi je ne suis pas un expert en informatique, alors c'est vraiment juste une
question sur c'est quoi exactement.
M. Caire : Mais c'est au
niveau du stockage, au niveau de la lecture, de la capacité à retrouver l'information,
la rapidité d'interaction entre la carte mère, bien, le... puis votre lecteur
rigide, là. C'est un traitement qui est plus rapide, donc qui est plus
performant.
M. Kelley : Puis c'est
au-dessus de 25 000 $, puis je ne suis pas contre ça, mais est-ce qu'on
achète comme... on achète un gros montant pour une année, puis on garde ça au
cas où qu'on doit mettre une autre place ou ça doit être remplacé chaque
année?
M. Caire : Non, on les
utilise. Oui, oui, on les utilise. C'est ça, on en a acheté 185, là. 25 000 $,
on en a 185.
M. Kelley : Puis tout a été
utilisé?
M. Caire : Puis oui, on les
utilise.
M. Kelley : Le chiffre est
juste un petit peu par hasard. Ce n'est pas grave. Sur la ligne 306,
magasin Latulippe, acquisition des sacs de transport pour 1 600 $. J'imagine,
ça, c'est pour les paquets des piles de câbles que vous avez achetés dans la
dernière année. Ce n'est pas un critique. Vous êtes le ministère de l'Informatique,
mais je veux juste comprendre. J'imagine, c'est les sacs de transport pour l'équipement
lourd utilisé par les fonctionnaires de l'État?
M. Caire : Oui.
M. Kelley : Parfait. Je pense
que M. le ministre, toutes des dépenses que j'ai soulignées. Je veux juste
vérifier. Non, c'est tout. C'est tout pour moi. Je ne sais pas combien de temps
qu'il me reste.
Le Président (M. Simard) : Il
vous reste 1 min 20 s
M. Kelley : Une minute. Et je
ne sais pas, M. le ministre, s'il y a des autres... J'ai posé un paquet de
questions et vous avez fait chercher les réponses. Si vous êtes capable de
déposer ça pour nous quand c'est disponible, ça va être apprécié pour...
M. Caire : Broadnet Telecom,
c'est les équipements de réparation du RENIR.
M. Kelley : O.K. Parfait. Il
n'y a pas beaucoup de temps qui reste. Je veux remercier votre équipe pour
la... des questions.
M. Caire : Moi aussi.
M. Kelley : De préparer tous
ces éléments-là. Je pense, ça, c'est des fois un petit peu perdu dans nos
révisions des crédits. On dépense l'argent des contribuables du Québec, alors c'est
toujours une bonne idée juste de poser des questions sur pourquoi on a acheté
ça? Ça fait quoi exactement? Parce que...
M. Kelley : ...puis moi,
comme je dis, je ne suis pas un expert, mais j'ai juste... Merci, M. le
Ministre, pour vos réponses puis, quand même, de demander à vos fonctionnaires
pour des réponses, c'est bien apprécié. Merci beaucoup.
M. Caire : Merci, M. le député.
Le Président (M. Simard) : Merci
à vous, chers collègues. Je crois comprendre qu'il y aurait consentement pour
que le temps qu'il vous restait est réputé écoulé.
Des voix : Consentement.
Le Président (M. Simard) : Consentement.
M. le député de Maskinongé.
M. Caire : Moi, je n'ai pas
de consentement à donner.
Des voix : Ha! Ha! Ha!
• (11 h 10) •
Le Président (M. Simard) : En
effet, M. le ministre.
M. Allaire : Merci, M. le
Président. Chers collègues. M. le ministre, salutations également à vous, mais
à toute votre équipe, autant du cabinet que du ministère. Je ne serai pas aussi
précis et ciblé que le député de Jacques-Cartier, que je salue d'ailleurs, il a
posé, je pense, des bonnes questions... Mais une belle transparence, également,
de vous et votre équipe, que je salue également.
M. le ministre, je vous trouve chanceux.
Je vous trouve chanceux de vivre la création d'un nouveau ministère. Ça doit
être très enivrant, ça doit être très stimulant. Vous partez, en quelque sorte,
avec une page blanche. Ça fait que je trouve ça vraiment stimulant pour vous.
Je me projette un peu, là, mais je trouve ça le fun.
Il faut se rappeler, quand même, que la
création du ministère, c'est le premier au Québec, le premier au Canada, le
premier en Amérique du Nord, puis je pense que, si on pousse la recherche un
peu plus loin, on va rapidement se rendre compte, à quelques différences près,
qu'on est vraiment les premiers au monde. Ça fait que je trouve ça quand même
assez extraordinaire.
Et je pense qu'on démontre également, par
la mise en place du ministère, qu'on place l'État au cœur de la cybersécurité,
puis je pense que c'est très important. Puis, en même temps, ça nous force à
développer des nouveaux standards, à développer des nouvelles pratiques. En
fait, on s'automet beaucoup de pression. Vous avez beaucoup de pression, M. le
ministre. On ne peut pas bien, bien se tromper, c'est ça la réalité. C'est
tellement, maintenant, dans notre quotidien, je regarde ici, alentour de la
table de cette commission, nos téléphones, tablettes, portables, tout ça
communique. Notre information est dans les nuages, naturellement. Ça fait que,
tu sais, ça nous inquiète quand même tout le temps un peu, puis je pense que
c'est normal, surtout quand on place notre information, là, dans les mains,
dans les mains du gouvernement, dans les mains de l'État.
M. le ministre, l'arrivée de ce
ministère-là s'inscrit comment dans l'écosystème? C'est perçu comment, puis
vous, vous voyez ça comment?
M. Caire : Bien, je vous
dirais que la réception est excellente. En fait, ça suscite beaucoup d'intérêt.
Et ça suscite beaucoup d'intérêt au Québec, je le vois par les demandes que
j'ai, moi, d'aller présenter le ministère à notre écosystème québécois, mais ça
suscite aussi beaucoup d'intérêt au Canada et, curieusement, même ailleurs dans
le monde. Récemment, M. Waterhouse était invité à aller parler du ministère de
la Cybersécurité à l'ambassade américaine à Ottawa, dans un événement qui a été
organisé en collaboration avec le gouvernement fédéral. C'est au début du mois
de juin que t'en vas à Washington?
Une voix : Oui, exactement.
M. Caire : O.K. Au début du
mois de juin, M. Waterhouse... organise un événement, M. Waterhouse va aller
nous représenter à Washington, parler évidemment de cybersécurité. Et même en
France, là, j'ai vu que, dans les élections présidentielles, là, ce qu'on avait
fait avait été rapporté, puis il y a des questions qui avaient été posées aux
candidats, à savoir est-ce qu'il serait temps pour le gouvernement français
d'imiter ce qui se fait au Québec? Donc, ça suscite de l'intérêt.
Ceci étant dit, vous avez raison, ça
suscite aussi des attentes qui sont proportionnelles à l'intérêt. C'est la
raison pour laquelle, évidemment, là, on est dans cette organisation-là qui est
névralgique. Comment ça s'inscrit? Bien, en fait, c'est assez simple, je pense.
Ces questions-là sont devenues, oui, névralgiques. Oui, elles préoccupent les
citoyens. On le voit même chez les Québécois, ils sont... surtout l'aspect
cybersécurité. Mais l'aspect cybersécurité est devenu nécessaire à cause de
l'aspect transformation numérique.
Et les expertises qui sont nécessaires,
maintenant, pour travailler dans ces domaines-là, si je compare à quand moi, je
travaillais en informatique, là... moi, j'étais un bon développeur de systèmes
de gestion de bases de données, puis ça allait très bien, puis je peux vous
dire une affaire, M. le député, là, quand on développait un système, là, on ne
se posait pas la question : On est-u en train de créer des vulnérabilités,
puis on est-u en train de créer une faille quelque part? Puis on faisait le
système, puis let's go, ça gère ce que ça gère, ça va chercher l'information
que ça va chercher, puis la vie est belle.
Aujourd'hui, on ne peut plus penser comme
ça. Aujourd'hui, il faut vraiment... Les algorithmes qui sont utilisés, les
technologies qui sont utilisées, on est à un autre niveau. Ces expertises-là
sont rares, elles sont précieuses. Pis on ne peut plus avoir le même réflexe de
dire : Bien, on va tout disperser ça aux quatre coins de notre
organisation, tu sais. Le gouvernement du Québec, ce n'est quand même pas
petit, comme organisation, là, ça fait qu'on ne peut pas garrocher ça...
M. Caire : ...aux quatre
coins de nos organisations puis penser que tout le monde va en bénéficier, puis
ça ne marche plus comme ça. Donc, l'idée, c'est d'avoir ce ministère-là qui
devient un vaisseau amiral pour la transformation numérique, pour la
cybersécurité. L'idée, c'est de travaille, puis ça, c'est une collègue à
l'époque qui me disait ça : Il faut qu'on pense collaboration, il faut
qu'on pense partage, il faut qu'on pense s'inscrire dans l'écosystème, c'est
extrêmement important. Le gouvernement du Québec ne peut plus travailler en
silo et il ou elle avait raison dans ses prétentions. Je vais garder son
identité secrète. Il faut, il faut penser comme ça, mais pour ça, ça nous prend
un ministère qui a ce mandat-là. Moi, je l'ai dit, je le répète, le ministère de
l'Éducation, là, son mandat, ce n'est pas de faire de l'informatique, c'est de
s'assurer que nos jeunes, ils ont accès à de la formation, que ce soit
l'éducation, l'enseignement supérieur, le mandat, c'est de former nos jeunes,
c'est de préparer leur avenir, c'est qu'ils développent leur potentiel, ce
n'est pas de faire de l'informatique. On parle de la santé, on rit bien, parce
que la santé, ils utilisent des fax, mais le ministère de la Santé, son mandat,
c'est quoi? C'est de soigner du monde, c'est travailler en prévention, c'est de
s'occuper de la santé des Québécois, ce n'est pas de penser :
L'intelligence artificielle puis l'informatique quantique puis l'Internet des
objets, puis comment je vais faire ça, puis la... ce n'est pas son mandat, ce
n'est pas sa raison d'exister.
Alors, le ministère de la Cybersécurité et
du Numérique, c'est sa raison d'exister, de s'assurer d'aller chercher ces
expertises-là, d'avoir ces expertises-là, d'avoir cette vision-là du
gouvernement du Québec dans 10, 20, 50 ans, alors que sous-ministre et moi
serons probablement dans une maison des aînés dans 50 ans. Alors, c'est
d'avoir cette vision-là, c'est d'avoir cette réflexion-là. C'est de s'assurer
que cette expertise-là, on parle d'identité numérique, là, mais les algorithmes
de chiffrement puis les technologies avec lesquelles on travaille pour être
capable de déployer, oubliez ça, moi, je ne comprends rien là-dedans. J'ai
travaillé en informatique une bonne partie de ma vie, je ne comprends rien
là-dedans. Oubliez ça, parce que le niveau d'expertise qui est nécessaire, le
niveau de connaissances qui est nécessaire, on est ailleurs puis on ne peut pas
dire : Bien, on va en avoir un petit bout avec le réseau de l'éducation,
un petit bout en santé, un petit bout au MTQ, un petit bout... non, oubliez ça,
là, impossible.
Puis cette vision-là aussi, une des
difficultés qu'on a, c'est de gérer la désuétude. On a encore des organisations
qui travaillent sur des ordinateurs centraux. M. le député, quand moi, j'ai
fait mon cours en informatique il y a une semaine ou deux, on n'enseignait plus
ça. On n'enseignait plus ça, puis nous, au gouvernement du Québec, on se sert
encore de ça. Pourquoi? Parce que ça n'a jamais été le mandat de personne de
jouer deux coups d'avance. Ça, c'est notre mandat. C'est à ce phénomène-là
qu'on va s'attaquer pour faire en sorte de, un, le corriger, rattraper notre
retard puis s'assurer que nos organisations ne se laissent pas aller dans la
désuétude. Parce qu'un gestionnaire, là... Ça marche? Touche pas à ça. Ça va-tu
s'inscrire dans telle logique de... Non, non. Ça marche puis ce n'est pas ça,
mon mandat. Mon mandat, c'est de donner tel type de service. C'est ça, mon
mandat. Puis ça, ça fonctionne, ça fait la job. Touche pas à ça. C'est une
dépense sinon.
Alors, nous, notre mandat, c'est de dire
non, non, non, parce que dans une optique du gouvernement du XXIe puis du
XXIIe siècle, on ne peut plus faire ces choses-là. On ne peut plus laisser
nos systèmes péricliter comme ça. Alors, le mandat, il est large, mais en même
temps, il est concentré sur la vision, l'utilisation, le développement des TI
puis du potentiel des TI au sein de nos différents organismes.
17
941
M. Allaire : Merci, M.
le ministre. Il y a deux éléments que vous avez nommés, on va revenir tantôt,
peut-être, vers la fin avec la main-d'œuvre. Puis au niveau de l'expertise, là,
vous venez de l'aborder un peu. Puis vous avez aussi abordé... puis c'est
là-dessus que je veux revenir, là, au niveau des failles. En décembre dernier,
on a eu peur, on va se le dire comme ça. Il y a eu une faille qui a été
identifiée, qu'il y avait un réel risque, autant pour les entreprises que pour
les différentes administrations gouvernementales, sans tomber dans le technique
pour ne pas perdre les gens qui nous écoutent, parce que même moi, je me perds
un peu dans le langage informatique, là, je me suis mis du java parce qu'on
l'étudie quand on était au secondaire, mais sinon, ça s'arrête là, moi aussi.
Mais cela dit...
M. Caire : ...
17
941
M. Allaire : Oui. Mais
cela dit, je pense que les gens ont vraiment eu peur. Puis quand le
gouvernement a annoncé la fermeture des 4 000 sites
gouvernementaux, je pense que ça a saisi tout le monde. Puis là, le monde,
probablement, les citoyens se sont dit : Woup! Il est-u trop tard? Est-ce
que la faille...
M. Allaire : ...elle était
tellement grande que, finalement, les gens sont rentrés dedans puis sont allés
chercher de l'information à tort. Mais l'histoire nous dit que c'est tout le
contraire. Le gouvernement a réagi rapidement, a assumé un leadership fort, ça
a été reconnu par les experts. J'ai envie que vous poussiez un peu plus loin la
réflexion, là. De toute évidence, là, vous avez l'expertise à l'interne, mais
comment vous allez faire pour garder, justement, cette expertise-là pour
rassurer les citoyens du Québec?
• (11 h 20) •
M. Caire : Bien, écoutez,
dans le cas de Log4Shell, c'est un bon exemple de ce que j'expliquais. Dans un
contexte qu'on a connu par le passé, compte tenu du fait que chaque organisme
public est responsable de sa cybersécurité, bien, il aurait été de la
compétence de chaque premier dirigeant de chaque... puis là, on en a 305,
imaginez-vous, là, 305 organismes qui ont individuellement à décider comment
ils gèrent Log4Shell sans nécessairement comprendre exactement ce que ça fait.
Puis, très brièvement, puis vous avez raison, je ne veux pas tomber dans les
considérations techniques, mais, une fois que la vulnérabilité est identifiée,
l'attaquant peut inscrire une ligne de code. Ce code-là s'exécute. Là, pas de
validation, tu peux faire exécuter... n'importe quelle instruction que tu mets
dans la librairie en question va s'exécuter. Puis ça, ça veut dire quoi? Ça
veut dire que tu peux prendre le contrôle total du serveur, tu fais ce que tu
veux avec toutes les données qui sont dessus, les liens de communication, tu
peux mettre un cheval de Troie, tu peux mettre une porte dérobée, tu peux
mettre un rançongiciel, tu peux de gâter solide. Ça faisait ça, c'était...
Comme vulnérabilité, c'est considéré comme, probablement, la plus grande faille
informatique dans l'histoire de DTI depuis ce qu'on peut répertorier.
Alors, l'avantage d'avoir le ministère,
puis le réseau de cyberdéfense, puis d'avoir lu la loi no 95 aussi, c'est que
monsieur Rodrigue a pu m'appeler, dire: Voilà, on a identifié ça. Voici -
m'expliquant ce que je vous explique - voici le niveau, à quel point c'est
catastrophique. Et nous, on a plusieurs milliers de systèmes qui sont visibles
depuis Internet, et donc chacun d'eux est susceptible de tomber sous la coupe
d'un attaquant de cette façon-là. C'est catastrophique.
Ce qui est intéressant, c'est qu'on avait
déjà fait des travaux préparatoires, donc, dire: Ce que ça nous prend, c'est
des protocoles. Comment on réagit à telle ou telle situation? C'est M. le
député de Jacques-Cartier, tout à l'heure, qui disait: Comment vous vous
préparez à ce genre de catastrophe là? Bien, c'est ce qu'on avait fait. Alors,
on avait un protocole qui dit: Si vous avez un niveau de criticité de 10, donc
ça, c'est... ça ne va pas bien à la "shop", là, la réaction, elle est
automatique, on ferme le système, puis après ça on répare la faille en
question. Mais il faut déconnecter le système, c'est automatique. Il n'y a rien
d'autre à faire, la première chose... Le problème qu'on avait, c'est qu'on ne
pouvait pas identifier quels étaient les systèmes qui utilisaient cette
librairie-là qui était la source de la vulnérabilité. Ça fait qu'à partir de là
la décision, c'était... bien, la recommandation de l'équipe, c'est-à-dire,
bien, il faut fermer tous les systèmes parce qu'on ne sait pas lequel on va
faire... par lequel on peut se faire attaquer. Alors, c'est ce qu'on a fait.
Et ça, c'est un exemple. Imaginez-vous
dans le contexte passé, là. Chaque dirigeant aurait dû d'abord être avisé de
ça. Ça fait que ça, ça se fait à géométrie variable, là, tu sais. Il y en a qui
l'auraient eu le jour même, il y en a, ça aurait pris une semaine, deux
semaines, trois semaines. Et là chaque dirigeant aurait dû faire la réflexion:
Mais qu'est-ce que je fais avec ça? C'est quoi, les impacts? Avec des niveaux
de connaissances puis un accès à des niveaux d'expertise à géométrie variable,
probablement que toutes les... les recommandations n'auraient pas été toutes
les mêmes. Donc, on se serait peut-être ramassés avec des vulnérabilités
disponibles pendant des mois et des mois, puis avec les conséquences qu'on peut
imaginer.
Donc, dans le fond, ce n'est pas tant moi
ou... c'est ce qu'on a mis en place qui nous permet... Je veux dire, ça aurait
été un autre, le protocole était le même. La vulnérabilité d'un niveau 10, vous
fermez le système. Je ne suis pas capable d'identifier le système parce qu'on
en a trop qui utilisent cette librairie-là. Bon, bien, vous les fermez tous. Tu
sais, c'était évident. Puis, quand on se structure comme ça, quand on est
capables de mettre en place cette structure-là de proaction, bien, c'est ça,
c'est que les décisions deviennent faciles à prendre, elles sont automatiques.
Mais ça, c'est parce qu'on a un modèle de gouvernance maintenant, au
gouvernement du Québec, qui nous permet de travailler de cette façon-là, donc
rapidement, de façon proactive et en respectant les protocoles qu'on met en
place, ce qui assure une plus grande cybersécurité de nos systèmes
d'information...
M. Allaire : ...merci, M. le
ministre pour votre réponse. Allons-y un peu plus large, de façon plus macro.
Je pense que par les fonctions que vous avez comme ministre vous devez assumer
un leadership, on l'a dit tantôt, puis vous l'avez bien fait jusqu'à
maintenant. Maintenant, pour garder vos équipes stimulées, pour vous garder
aussi un certain niveau de confiance avec les citoyens du Québec, je pense que
ça prend une vision. Là, je vous donne la chance un peu d'exprimer cette
vision-là que vous avez du développement de votre ministère, peut-être à moyen
puis à plus long terme. Puis, j'oserais même avoir l'audace de discuter un peu
avec vous de l'enjeu de main-d'œuvre. Je pense que c'est un enjeu qui est très,
très, très important. Vous avez parlé, là, à plusieurs occasions, en répondant
aux collègues puis même en me répondant à moi tantôt, de l'importance de
continuer à développer l'expertise. Alors, c'est quoi, la vision dans deux ans,
dans quatre ans, dans 10 ans, de votre ministère?
M. Caire : Bien, en fait, le
ministère répond à une vision qui est plus large, qui est de dire : Qu'est
ce qu'on veut en termes numériques comme gouvernement? Vers où on s'en va.
Qu'est-ce qu'on veut être capables de faire? Qu'est-ce qu'on veut que les
citoyens puissent faire? À quels services on veut que les citoyens puissent
avoir accès, services numériques, s'entend, dans l'année prochaine, dans cinq
ans, dans dix ans, dans quinze ans, dans 20 ans.
Moi, ce que j'ai dit, c'est ce que je
souhaite, à terme, c'est que le gouvernement du Québec soit accessible au bout
du pouce. Comme je vais le faire avec mon institution financière, il y a un
paquet d'opérations maintenant que je fais, je vais sur l'application mobile de
mon institution financière et je peux faire... mes enfants ont besoin de sous,
je leur transfère des fonds. Je veux aller payer ma carte de crédit, je fais le
paiement, je veux payer des factures, je fais ça. Il y a à peu près toutes mes
opérations financières se font avec mon téléphone.
Or, au gouvernement du Québec, on s'entend
qu'on est un petit peu loin de ça. Il y a quelques services qui sont mis en
place qui nous permettent de faire... quelques grandes organisations étatiques
qui nous permettent de faire ça. Mais si je veux... je suis un restaurateur, M.
le député, et je veux renouveler mon permis d'alcool. Eh! oublie ça, là. Là,
c'est 80 pages de documents pour dire exactement tout ce qu'ils savent déjà,
là, pour le répéter pour après ça avoir une demande qui va être traitée au pic
puis à la pelle par quelqu'un, pour qui j'ai énormément de respect, mais qui
pourrait certainement faire autre chose que ça, pour finalement imprimer un
papier que tu vas envoyer à l'organisation ou au restaurant ou au bar en
question, à qui tu vas demander d'afficher ça sur le mur. Bien, voyons donc.
Ça, c'est juste l'étape après le pigeon voyageur, là. Tu sais. Non, non, mais
c'est vrai, on est au XXIᵉ siècle, là. Je veux dire, pourquoi on ne prend pas
le téléphone puis pourquoi le propriétaire du restaurant ou du bar en question
ne reçoit pas une notification pour dire que son permis arrive à échéance?
Voulez-vous le renouveler, oui ou non? Oui. Est-ce que vos conditions ont
changé? Non. Est-ce qu'on prend le paiement comme la dernière fois? Oui,
parfait. C'est réglé, c'est fini. C'est ça, le XXIe siècle, là, c'est le
même qu'il faut que ça marche, là.
Tu sais, vous voulez inscrire vos enfants
à l'école, là. Eh! bonne chance! Moi, les miens, en plus, ils ont la mauvaise
idée de passer du primaire au secondaire. Ça aurait été bien plus simple s'ils
avaient arrêté ça en sixième année, mais bon. Ça fait que là, il faut que je
demande les bulletins de sixième année. Donc, il faut que je demande au
ministère de l'Éducation le bulletin que le ministère de l'Éducation fournit
pour donner ça à une autre organisation du ministère de l'Éducation, qui
s'appelle l'école secondaire. Pourquoi il faut que je fasse ça? Parlez-vous.
Parlez-vous. Alors, pourquoi moi, je ne reçois pas une notification qui
dit : Votre enfant va s'inscrire au... voulez-vous l'inscrire? Bon, tu ne
peux pas répondre non, ça fait que c'est oui ou oui, parce que la loi est là.
Parfait. Voici les écoles dans le secteur de 50 kilomètres, si vous me
permettez d'avoir accès à la géolocalisation. Oui, parfait. 50 kilomètres
de ta maison, c'est ça qu'il y a. Il y a-tu un programme particulier? Bien oui,
celui-là, il me plaît. Bien, parfait. Voici les écoles qui le donnent. Veux-tu
que je t'inscrive? Oui, parfait. C'est réglé. Le reste, c'est toutes des
questions, puis je les ai remplies, puis en quatre copies, hein. Les formulaires,
là, qui te demandent toute la même affaire. Le nom de ton enfant? Je viens de
te le dire. J'aurais pu continuer longtemps, M. le député.
M. Allaire : Oui. Belle
vision.
Le Président (M. Simard) : Très
bien.
M. Caire : …défoncé un peu,
nous autres, là, là?
Le Président (M. Simard) : Non.
M. Caire : ...
Le Président (M. Simard) : Il
faut gérer ça de manière rigoureuse...
M. Caire : J'étais parti...
Le Président (M. Simard) : ...comme
l'ensemble du budget national. Donc, le temps alloué est écoulé. Nous allons
donc procéder au vote sur les crédits suivants : le programme...
Le Président (M. Simard) : ...1,
intitulé Direction et administration est-il adopté?
Une voix : Sur division.
Le Président (M. Simard) : Adopté
sur division.
Le programme 2, intitulé Gestion des
ressources informationnelles spécifiques est-il adopté?
Une voix : Sur division.
Le Président (M. Simard) : Adopté
sur division.
Finalement, l'ensemble des crédits
budgétaires du portefeuille Cybersécurité et Numérique pour l'exercice
financier 2022‑2023 est-il adopté?
Une voix : Sur division.
Le Président (M. Simard) : Adopté
sur division.
En terminant de déposer réponse aux
demandes de renseignement de l'opposition. Et sur ce, compte tenu de l'heure, a
nous suspendons. Nous reprenons après les affaires courantes, et on terminera
ce soir autour de 20 heures. À plus tard.
(Fin de la séance à 11 h 30)