(Neuf heures quarante-six minutes)
Le Modérateur
: Alors,
bonjour et bienvenue à cette conférence de presse du ministre délégué à la
Transformation numérique, M. Éric Caire. Il est accompagné du dirigeant
principal de l'information au Secrétariat du Conseil du trésor, M. Pierre
Rodrigue. Je vous cède la parole.
M.
Caire
: Merci
beaucoup. Bonjour, tout le monde. Aujourd'hui, d'abord, permettez-moi de
souligner qu'en cette première journée du mois d'octobre nous sommes, octobre,
le Mois de la sensibilisation à la cybersécurité. Vous savez, les cybermenaces
sont un fléau planétaire. Le Québec, évidemment, n'est pas exempt de ça, au
contraire, et l'augmentation des cybermenaces est exponentielle, compte tenu de
l'augmentation de l'utilisation du numérique, notamment avec le télétravail.
En fait, pour certains experts, les
cybermenaces sont la nouvelle pandémie. C'est à ce point-là. Au niveau des
activités criminelles, on est même en voie de faire de la cybercriminalité l'activité
la plus lucrative devant les autres activités criminelles plus
conventionnelles, notamment du fait de la facilité et de la capacité à être
anonyme dans la cybercriminalité.
Le gouvernement du Québec, depuis que nous
sommes en poste, a posé des gestes importants pour améliorer la cybersécurité
de ses systèmes d'information. Le premier geste a été de créer le Centre gouvernemental
de cyberdéfense. Ça prenait un centre d'expertise, un vaisseau amiral de la
cybersécurité pour être capable de coordonner les efforts de l'ensemble du
réseau. Ça a été mis en place en 2019. Le Centre gouvernemental de cyberdéfense
est maintenant très opérationnel, et, dans plus circonstances, a été appelé à
intervenir. On est en très content.
Maintenant, il manquait aussi une vision
plus globale. En 2020, mars 2020, j'ai déposé la première politique de
cybersécurité, qui donne cette vision-là, quelles seront les politiques
auxquelles le gouvernement va s'astreindre pour assurer la cyberdéfense de ses systèmes.
Dans cette politique de cybersécurité là, un
des éléments importants, c'était la relation avec l'écosystème, de travailler
avec l'écosystème. Pourquoi? Parce que la cybersécurité, c'est une discipline
qui est relativement récente. Même si les technologies de l'information, bon,
ça date depuis quelques décennies, mais la cybersécurité, comme discipline,
c'est relativement récent, et l'expertise, la vraie expertise... parce qu'il y
a ceux qui se disent des experts, mais les vrais experts sont relativement
rares. Donc, de travailler avec l'écosystème, c'est la façon d'aller chercher
cette expertise-là, d'obtenir cette expertise-là et de permettre au
gouvernement du Québec d'être plus performant en matière de cybersécurité.
Ce qui nous amène au sujet d'aujourd'hui,
la collaboration avec les hackeurs éthiques. C'est une pratique qui commence à
travers le monde. Donc, les exemples, là, de collaborations officielles avec
les hackeurs éthiques ne sont pas légion, mais il y en a quelques-uns. Il y a
au niveau du gouvernement américain, notamment, du gouvernement français, je
pense, où on a ce type de collaborations là. Et le Québec, depuis déjà un
certain temps, se penchait sur la façon de le faire.
Je dois dire qu'officieusement depuis deux
ans on collabore très bien avec différents groupes de hackeurs éthiques, mais
il n'y avait pas cette interface officielle là. Et je pense que le besoin était
déjà là, mais ce besoin-là a été exacerbé par les événements récents qu'on
connaît tous autour du passeport vaccinal, où un hackeur éthique a eu de la
difficulté à entrer en contact, où la communication a été assez difficile avec
le gouvernement.
Donc, aujourd'hui, je suis très, très,
très heureux de vous présenter le site qui va permettre, en fait, de divulguer
des vulnérabilités aux hackeurs. C'est… Oui, allons-y. On va vous… En fait, au
fur et à mesure que je vous explique, on va vous le présenter. En fait, c'est
un site qui est très simple. D'abord, la première page nous permet de cadrer
quels sont les engagements et des hackeurs éthiques et du gouvernement par
rapport à ceux qui voudraient divulguer des vulnérabilités. Je souligne au
passage, je le fais parce que j'ai fait un peu la blague dans le cas du dossier
de Louis en disant : Je ne veux pas le poursuivre, je veux lui donner une
job... mais vous remarquerez qu'il y a quand même… dans le haut, il y a un
onglet emploi, donc ce n'était pas une blague, c'est vrai. S'il y a des gens
qui veulent se joindre à l'équipe de cyberdéfense du gouvernement du Québec, on
va leur permettre de postuler parce que, comme je l'ai dit, l'expertise, elle
est rare, puis on en a besoin.
Maintenant, pour ceux qui veulent
souligner ou divulguer une vulnérabilité, il y a d'abord l'engagement des individus.
Ce qu'on demande aux individus, dans le fond, c'est dire : Bien, vous le
faites de façon éthique. Vous ne le faites pas en échange d'une contrepartie.
Vous vous engagez, effectivement, à être éthiques, à savoir : Vous n'avez
pas volé des informations que vous gardez par-devers vous. Vous vous êtes fait
pogner, ça fait que là vous allez sur le site pour faire une divulgation pour
éviter les conséquences. Non, ça ne marche pas comme ça.
Donc, il y a un certain nombre
d'engagements que le hackeur éthique doit prendre, au moment de faire sa
divulgation, qui nous assurent, puis qui n'ont aucun autre but que de nous
assurer que c'est bel et bien un hackeur éthique et qu'il le fait pour les
bonnes raisons, qu'il s'engage notamment à ne pas divulguer la faille, la
vulnérabilité. Pour le reste, il fera ce qu'il veut, mais sur la vulnérabilité,
évidemment, l'idée ce n'est pas de publiciser le fait qu'il y a des failles
dans notre défense.
Le gouvernement, en contrepartie, s'engage
à quoi? Essentiellement, deux choses qui sont ce que les hackeurs éthiques nous
demandaient. D'abord, leur garantir, et donc c'est une garantie formelle, que
le gouvernement ne prendra aucune action en justice, n'intentera pas de
poursuite, ne déclenchera pas d'enquête à leur endroit. C'était un peu la base
du litige, là, des événements que vous connaissez. Et on s'engage aussi à
établir une communication ouverte. On veut discuter avec eux. On veut échanger
avec eux. On veut trouver des solutions avec eux. Et ça, c'est la base de l'engagement
du gouvernement.
Bon, une fois que ça est dit, que tout le
monde est bien conscient dans quel cadre on agit, qu'est-ce qui se passe? Alors
là, on va demander au hackeur… je ne sais pas si on peut aller sur la page de
la… là, vous avez toute la série — je vais vous laisser en prendre
connaissance, là — les situations qui ne sont pas des vulnérabilités,
là. Tu sais, si vous me trouvez une vulnérabilité pour un système qui est
désuet, bien, oui, mais, tu sais, il est désuet, tu sais, la réalité, c'est que
la politique du gouvernement c'est de travailler avec des logiciels qui sont
mis à jour. Donc, ce qu'il faut corriger, ce n'est pas la vulnérabilité d'un
système désuet, c'est de faire la mise à jour du système en question. Donc,
vous comprendrez qu'il y a certaines situations que nous ne considérons pas
comme des vulnérabilités. Elles sont expliquées.
Après ça, ça nous conduit au formulaire de
divulgation, essentiellement, deux choses. D'abord, où est-ce que vous avez
trouvé la vulnérabilité? Puis quel est le type de vulnérabilité que vous avez
trouvée? Donc, c'est un… c'est le produit, évidemment, c'est de saisi, le type,
c'est une liste déroulante, là, il y a plusieurs types qui sont déjà
paramétrés. Donc, essentiellement, c'est ce qu'on va demander de base.
Ce qu'on peut faire aussi, c'est la preuve
de concept. Qu'est-ce qu'on veut dire par la preuve de concept, c'est :
Comment vous l'avez trouvée, la vulnérabilité? Comment vous avez réussi à
trouver la faille? Comment vous avez réussi à vous introduire dans le système?
Donnez-nous la recette que vous avez utilisée parce que nous, dans nos
recherches, puis dans notre protocole de correction, ça va nous aider à
corriger la vulnérabilité et à faire en sorte que le système va être mieux
cyberprotégé.
Donc, vous remarquerez que, jusqu'à date,
on ne demande pas à personne comment il s'appelle, puis c'est quoi leur numéro
de téléphone. Il y a une vulnérabilité. Quel est le type? C'est où que vous
l'avez trouvée? Puis comment vous l'avez trouvée?
Ensuite, bien là, on va faire ce qu'on
appelle l'évaluation CVSS, c'est-à-dire on va établir
c'est quoi, le niveau critique de la vulnérabilité. Parce qu'il y a des
vulnérabilités qui sont, oui, elles sont là mais ce n'est pas dramatique, là,
ça ne met pas en péril le système. Par contre il y en a d'autres qui peuvent
être extrêmement critiques, puis ça, ça amène une action-réaction, là, il faut
agir dans les minutes qui suivent, là, parce que ça met à risque, par exemple,
les renseignements personnels. Si ça menace des renseignements personnels,
c'est effectivement quelque chose qui va être critique pour lequel il doit y
avoir une réaction immédiate. Donc, ce n'est pas obligatoire, mais on demande
au hackeur éthique de nous faire son évaluation du niveau de criticité de la
faille.
Ensuite, il y a un certain nombre
d'autorisations qui sont demandées. Et c'est là où, selon les autorisations qui
sont demandées, le hackeur peut ou non nous donner son nom, la façon de le
rejoindre, peut utiliser un pseudo, peut utiliser un pseudonyme, s'il ne veut
pas se nommer. Il peut utiliser un pseudonyme, il n'y a pas de problème, s'il
ne veut pas qu'on le rejoigne du tout, c'est correct aussi, on n'entrera pas en
contact avec lui. S'il voulait juste faire son signalement puis retourner dans
l'ombre, c'est parfait, ça nous convient. Et là, bien, évidemment, bon,
s'assurer qu'on n'est pas victime d'application, là, le fameux captcha, là, qui
est assez de base, il me semble, sur les sites aujourd'hui.
Une fois que le hackeur a soumis la
vulnérabilité, qu'est-ce qui se passe? On va générer un fichier. Le fichier est
encrypté parce qu'il faut comprendre que le site, il est sécurisé, donc le
fichier est encrypté. Il est reçu au Centre gouvernemental de cyberdéfense, et
là, le Centre gouvernemental de cyberdéfense, rapidement, doit procéder à sa
propre évaluation.
D'abord, il va aller vérifier en fonction
des informations qui lui sont données est-ce qu'effectivement, sur le site dit,
je retrouve, selon le protocole qui nous a été transmis, le type de
vulnérabilité qui nous a été indiqué. Donc, il faut quand même valider
l'information. Après ça, le Centre gouvernemental de cyberdéfense va faire lui
aussi son évaluation du niveau de criticité, on va attester de la criticité ou
non de ce que le hackeur nous a soumis.
Ensuite, tout ça est transféré évidemment
à l'organisme concerné. Et là, le dirigeant principal de l'information, à
travers les pouvoirs que le projet de loi n° 95 lui donne maintenant, a
mis en place au moment, où on se parle, des protocoles : donc, si c'est
très critique, voici ce que vous devez faire, si c'est moyennement critique,
voici ce que vous devez faire. Il y a un temps-réponse, il y a un temps de
correction qui est prévu et les ministères seront astreints à respecter ces
procédures standard là dont on s'est doté en même temps qu'on a élaboré le
site.
Et nous, l'engagement qu'on a, c'est
évidemment par rapport au hackeur éthique qui aura accepté qu'on communique
avec lui. D'abord, on va lui faire un accusé réception de la vulnérabilité,
ensuite on va lui indiquer quels sont les échéanciers qui sont prescrits pour
le type de vulnérabilité qu'il a découverte… une… oui, découverte. Et, après
ça, on fait un suivi avec lui de la façon dont on traite la vulnérabilité qui a
été découverte et des correctifs qui sont appliqués. On ne le garde pas dans
l'ombre, on le garde informé de ce qu'on fait.
Donc, essentiellement, aujourd'hui, c'est
ce que j'avais à vous présenter. Ce site-là nous place dans les précurseurs au Canada
très certainement. À ce jour, là, je n'ai pas connaissance qu'il y a une autre
province canadienne qui offre ce type d'interface là aux hackeurs éthiques,
donc on est très contents. Je dois vous dire, évidemment, qu'hier en fin de
journée, en primeur, les hackeurs éthiques qui ont collaboré avec nous
initialement, parce que ce processus-là s'est fait en collaboration avec les
hackeurs éthiques depuis sa genèse... mais hier, ils ont eu une présentation
spéciale, et les hackeurs à qui ont l'a présenté se sont dit bien satisfaits de
ce qu'on mettait en ligne aujourd'hui.
Donc, là-dessus, j'attends vos questions
s'il y en a.
Le Modérateur
: Bien,
nous en sommes maintenant à la période de questions. Et comme nous ne sommes
pas très nombreux, je pense, ça va aller de façon très conviviale. Alors,
M. Lacroix. Et si vous me permettez, M. Lacroix, je vais aussi
peut-être en poser quelques-unes.
M.
Caire
:
D'après moi, même s'il ne le permet pas, vous allez le faire.
Des voix
: …
M. Lacroix (Louis) : Vous
avez dit, en début de présentation, qu'à plusieurs circonstances on a été
appelé à intervenir. Vous parliez du centre de cybersécurité.
M.
Caire
: Oui.
M. Lacroix (Louis) : À
combien d'occasions? Et quel genre d'attaque… Il y a eu combien d'attaques, par
exemple, contre les systèmes du gouvernement au cours, mettons, de la dernière
année? C'est quoi, les statistiques?
M.
Caire
: Je ne
sais pas. Là-dessus, je vais laisser, malgré ces menaces, je vais laisser mon
DP. Je n'ai pas la stat, là, du nombre de… Bien, écoutez, je peux donner une
partie de réponse, puis je vais laisser M. Rodrigue préciser.
En fait, on a tout type d'attaque. On a
des attaques en déni de service. Qu'est-ce que ça veut dire? Ça veut dire qu'on
fait des requêtes, des requêtes, des requêtes jusqu'à ce que le système plante.
Bon, ça, on a des protections contre ça. Notamment, quand le premier ministre a
demandé à la fonction publique d'aller en télétravail, il faut comprendre qu'on
n'avait pas les infrastructures, là, pour permettre à
65 818 fonctionnaires d'être en télétravail. On avait la capacité
d'en mettre 750 en télétravail, là. Ça fait que vous comprendrez que ça veut
dire d'augmenter la bande passante, d'aller chercher des sondes qui nous
protègent. En tout cas, bref, ça, c'est un type d'attaque. Les rançongiciels à
travers des courriels, le virus Emotet, notamment, a été utilisé contre des
organisations du gouvernement du Québec. Donc, c'est, je vous dirais, c'est une
pluralité, là, d'attaques qui ont été orchestrées contre le gouvernement du
Québec.
M. Lacroix (Louis) : Mais
est-ce qu'on a une idée du nombre d'attaques?
M.
Caire
: Bien,
là-dessus, je vais laisser M. Rodrigue, là, si on a le chiffre.
M. Rodrigue (Pierre E.) :
Oui. Bonjour. En fait, on ne divulgue pas le nombre pour des raisons de
sécurité. Oui, on les connaît, ils sont identifiés. Il y a les attaques qui
réussissent, qui sont quand même relativement peu nombreuses, et on peut dire
qu'au gouvernement du Québec, avec les mécanismes qu'on a, on ne peut pas dire
qu'on a eu actuellement, là, d'attaques qui ont donné des résultats
préjudiciables aux actifs du gouvernement, là. Alors, c'est... puis il y a en, évidemment,
des milliers par année qui... Nos sites sont constamment attaqués, là, mais les
mesures de protection qu'on a mises en place donnent des bons résultats. Mais, effectivement,
on les connaît, elles sont identifiées, mais pour des raisons de sécurité, évidemment,
on ne divulgue pas ce nombre-là.
M. Lacroix (Louis) : Il y a en
combien, en ce moment, des hackeurs éthiques qui travaillent pour le gouvernement?
M.
Caire
: Hier,
on avait... bien, je ne vous dis pas que c'est la totalité, là, mais hier on
avait huit invités, là, qui étaient à notre présentation.
M. Lacroix (Louis) : Des gens
que vous payez, là, qui sont à l'emploi du...
M.
Caire
: Non,
non, non, pas du tout, pas du tout. Ça, il faut comprendre, là, que ceux qui
ont collaboré avec nous depuis le début le font à titre gracieux, et on les en
remercie. Mais il y en a un petit peu plus que ça, là, tous ceux qui ont été
invités n'étaient pas présents hier, là. Je ne pourrais pas vous dire, parce
que c'est un nombre qui est en mouvance, là, il y en a qui viennent, il y en a
qui repartent, là. Mais je vous dirais, des plus steady, là, une douzaine, oui.
M. Lacroix (Louis) : Une
douzaine qui travaillent.
M.
Caire
: Oui.
M. Lacroix (Louis) : O.K.
M.
Caire
: Qui
sont vraiment des réguliers, si vous me passez l'expression, là.
M. Lacroix (Louis) : Et c'est
quoi, leur motivation? C'est vraiment d'aider le gouvernement ou c'est un défi?
M.
Caire
: Bien,
c'est certainement un défi, mais je pense qu'ultimement ils le font pour aider
le gouvernement. C'est des gens qui sont bien intentionnés puis qui comprennent
que, quand le gouvernement... quand une attaque réussit contre le gouvernement,
bien, c'est l'ensemble de la société qui doit payer pour ça, là. Alors, je
pense qu'ils y voient aussi un intérêt comme bons citoyens.
M. Lacroix (Louis) : Je vais
vous amener sur un autre sujet. Vous avez peut-être vu ce matin le rapport de
la coroner Kamel sur le décès de Joyce Echaquan. Et elle dit qu'il... Sa
première recommandation, c'est de reconnaître le racisme systémique. Je vais
citer un bout du rapport. Elle dit : «Le courage des mots visant à
pacifier nos rapports avec l'autre est crucial. Il faut avoir une ferme volonté
de nommer sans faire de cosmétique autour d'un principe pourtant si limpide :
le droit de tous à la bienveillance et à vivre dans une société libre et
démocratique en ayant l'espoir que tout être humain mérite les mêmes services
avec dignité et respect et, surtout, mérite de vivre.» Et elle dit que, dans le
rapport, c'est une évidence que le racisme systémique existe, il faudrait que
le gouvernement le reconnaisse.
M.
Caire
: Bien,
je ne partage pas...
M. Lacroix (Louis) :
Qu'est-ce que vous pensez de ça? En tant que membre du Conseil des ministres,
est-ce que vous croyez que le racisme systémique existe au Québec?
M.
Caire
: Non.
Je ne suis pas d'accord avec sa conclusion. Je suis d'accord avec les
fondamentaux de son analyse, je pense, effectivement, que le Québec, comme
toutes les nations du monde, on a besoin de poser des gestes forts, des gestes
de réconciliation, des gestes de reconnaissance envers les Premières Nations,
qu'il faut les traiter avec respect, dignité, d'égal à égal. J'ai eu l'occasion
d'en discuter à l'époque avec Konrad Sioui notamment, là, qui était au conseil
des Hurons-Wendat, pour qui j'ai un immense respect.
Ceci étant dit, là où je ne suis pas
d'accord, c'est quand on me dit que le racisme systémique est un concept
limpide. Moi, quand j'écoute mon collègue de Jacques-Cartier, M. Kelly, lui
semble penser que le racisme systémique, ça inclut la loi n° 21,
ça inclut la loi 101, ça inclut la refonte de la loi 101 qui est le
projet de loi n° 96. Alors, je serais curieux, là, de… Je pense qu'il n'y
a pas… Il y a autant de définitions du racisme systémique qu'il y a de tenants
du racisme systémique.
Puis moi, au contraire, je dirais que ce
qui va être fondamental dans la réconciliation avec les peuples autochtones,
c'est pas mal plus le respect qui leur est dû, la reconnaissance qui leur est
due et la façon dont on va traiter de nation à nation avec un objectif de
réconciliation. Ça, pour moi, je pense que... pas mal plus que de faire une
guerre de mots. Donc, il y a du racisme, c'est clair, il faut que ça arrête,
c'est clair, il faut qu'on s'assure que ça arrête, c'est clair, les nations
autochtones ont été victimes de ça, c'est clair, et il faut y mettre fin.
M. Lacroix (Louis) : Mais
quand un État, par exemple, adopte une loi qui s'appelle la Loi sur les
Indiens, qui est une loi d'assimilation à sa face même, c'est écrit dedans, et
que l'État autorise des pensionnats pour amener des enfants autochtones, leur
faire perdre leur culture, leur faire perdre leur langue et les assimiler à la
population blanche, ce n'est pas un système, ça, qui est instauré, à ce
moment-là, pour se débarrasser d'une ethnie, d'une culture, de… Il y a même le
mot «génocide culturel» qui a été employé à plusieurs reprises. Ça, ce n'est
pas un système?
M.
Caire
:
J'entends tout ça. Mais la question, c'est, aujourd'hui, là, en 2021, à l'aube
de 2022, quel est l'état de la situation? Qu'est-ce qui se produit? Est-ce
qu'on n'est pas aujourd'hui dans un autre univers que celui que vous me
décrivez? Alors… Et, si on veut régler le problème, bien, encore faut-il avoir
une lecture actuelle du problème. Il ne faut pas nier le problème, mais il faut
garder une vision actuelle du problème. Il y a un problème. Il y a un problème
de racisme. On l'a vu, Mme Echaquan a été clairement victime de cette
odieuse façon de faire. Mais est-ce que, si on veut avancer, est-ce qu'on n'est
pas... est-ce qu'on ne devrait pas d'abord faire une lecture actualisée de la situation?
Alors, ce que vous me décrivez a été
exact, mais, pour une partie, ça ne l'est plus. Et donc on...
M. Lacroix (Louis) :
Donc, pour vous, ça a existé, mais ça n'existe plus.
M.
Caire
: Bien,
les pensionnats autochtones, ça a existé, là. Je veux dire, je ne vais pas nier
l'évidence, là, ça a existé, c'est clair. Mais, tu sais...
M. Lacroix (Louis) :
...je parle du racisme systémique. Il a déjà existé, mais il n'existe plus. C'est
ça?
M.
Caire
: Non,
ce n'est pas ce que j'ai dit. J'ai dit que les pensionnats autochtones, ça a
existé. J'ai dit qu'aujourd'hui la société évolue. Je pense qu'elle évolue dans
le bon sens. Je pense qu'il y a une volonté claire, ferme du gouvernement du
Québec. Puis sérieusement, là, je vais laisser le gouvernement fédéral répondre
de ses actes. Mais il y a une volonté claire et ferme du gouvernement du Québec
d'aller dans une situation de réconciliation. Mon collègue Ian Lafrenière est
dédié à cette tâche-là, et tout le gouvernement est derrière lui.
Alors, à partir de maintenant, moi, je dis :
c'est quoi, la situation actuelle? Actuellement, il n'y a pas, au Québec, de
racisme systémique. Il y a du racisme, il faut le combattre, mais il n'y a pas
de racisme systémique.
M. Bergeron (Patrice) : Est-ce
que vous me permettez une question? Concernant le sujet du jour, dites-moi,
vous avez parlé, donc, de menaces.
Est-ce que, dans le contexte des relations
assez délicates du Canada avec, par exemple, la Chine, est-ce qu'il y a des
menaces étatiques, par exemple, venant de gouvernements comme la Chine ou, par
exemple, la Russie sur les systèmes informatiques du gouvernement du Québec?
M.
Caire
: Écoutez,
là, je vais réfléchir à ma réponse parce qu'elle a, vous comprendrez, des
incidences assez importantes. Il est clair qu'il y a dans le monde des groupes
bien organisés, bien financés, de hackeurs et que ces groupes-là sont financés
et organisés par le biais d'États. Il y a des États qui sont derrière ces
organisations-là.
M. Bergeron (Patrice) :
Et qui nous ciblent.
M.
Caire
: Et
qui nous ciblent.
M. Bergeron (Patrice) :
Mais vous ne voulez pas nommer quels États il s'agit.
M.
Caire
: C'est
ça. Il y en a.
M. Bergeron (Patrice) :
Et il y en a plusieurs.
M.
Caire
: Il y
en a plusieurs.
M. Bergeron (Patrice) :
O.K. Et ça arrive régulièrement que les systèmes du gouvernement sont menacés
ou testés, quoi?
M.
Caire
: Bien,
écoutez, là, je ne veux pas... je ne suis pas sûr qu'on a une ventilation du
nombre d'attaques par groupes de hackeurs, là, mais ça arrive. Oui, ça arrive.
Ça arrive. Puis il y a des ministères qui sont particulièrement ciblés.
M. Bergeron (Patrice) :
Vous avez évoqué le défi du télétravail parce qu'on a mis tout à coup une masse
importante de fonctionnaires en position de télétravail pour le gouvernement du
Québec, et vous avez dû rehausser, donc, les niveaux de sécurité.
M.
Caire
: Oui
M. Bergeron (Patrice) :
Est-ce que, par contre, ça rend les systèmes du gouvernement, même en dépit de
ce rehaussement de sécurité, ça rend les systèmes du gouvernement plus vulnérables?
M.
Caire
:
C'est-à-dire que si on ne met pas en place… la réponse à votre question, c'est
oui, si on ne met pas en place les bonnes mesures. Je vous donne un exemple
très concret de ce que je veux dire. Un des types d'attaque le plus courant, ce
n'est pas nécessairement d'attaquer le système lui-même, parce que généralement
les systèmes vont être bien protégés, donc, c'est d'attaquer l'utilisateur du
système. Et c'est la raison pour laquelle, avec le Centre gouvernemental de
cyberdéfense, on a procédé à une assez vaste campagne d'hameçonnage de nos
propres fonctionnaires. On a mis en place, avec l'Académie de transformation
numérique, quatre formations, justement, pour sensibiliser les fonctionnaires à
ces types d'attaques là parce que, puis ça fait partie de la politique de
cybersécurité, là, c'est clairement identifié qu'un employé qui n'est pas
sensibilisé, qui n'est pas bien formé, c'est un maillon faible. Un employé qui
est bien formé, qui est sensibilisé, ça devient un rempart. Donc, on a
travaillé là-dessus dans les dernières années. On a un taux de participation,
je n'ai pas les derniers chiffres, là, ça, je pense qu'on peut le communiquer,
là, de ceux qui ont suivi ces formations-là, mais on est pas mal, là, à maturité
de ce qu'on voulait en termes de formation. Je ne vous donnerai évidemment pas
les résultats de la campagne d'hameçonnage pour des raisons assez évidentes.
Ceci étant dit, je peux vous dire que le nombre de gens qui sont tombés dans le
piège, il est étonnamment faible, étonnamment faible. On est vraiment très,
très, très satisfait de la réaction de nos fonctionnaires.
Donc, je reviens à votre question. Dans ce
contexte-là, non, l'augmentation du télétravail ne s'est… aurait pu, mais ne
s'est pas avérée être une diminution de notre capacité à nous défendre.
M. Bergeron (Patrice) : Comme
il s'agit d'un sujet très pointu, mais qui touche quand même beaucoup, beaucoup
de monde, là, un hackeur éthique, là, est-ce qu'on ne pourrait pas dire que
c'est un genre de... un cyberpirate bienveillant ou comment… parce que je
cherche une façon de…
M.
Caire
: Oui.
Oui, oui, effectivement, c'est un cyberpirate bienveillant.
M. Bergeron (Patrice) : …pour
que ce soit compréhensible pour la majorité de M. et Mme Tout-le-monde, là.
M.
Caire
: Oui,
oui, c'est un cyberpirate bienveillant. C'est un cyberpirate qui se comporte
comme un bon citoyen.
M. Lacroix (Louis) : C'est
quoi, l'intérêt de pays, par exemple, que vous ne voulez pas nommer... je
prends un pays fictif, là.
M.
Caire
: Oui
M. Lacroix (Louis) : Ça
serait quoi, l'intérêt de la Chine de hacker les systèmes du gouvernement du
Québec?
M.
Caire
: Eh
boboy! Non, mais j'ai plusieurs exemples en tête, là. Je vais vous en donner
un. Vous savez, au Québec, on a un très grand territoire avec une densité de
population assez faible. Puis il faut comprendre que les investisseurs chinois,
il n'y a pas beaucoup de raisons pour lesquelles un investisseur chinois peut
sortir des capitaux de la Chine. Un des secteurs d'investissement pour lesquels
c'est permis, c'est l'acquisition de terres.
Donc, il pourrait, dans votre exemple
totalement hypothétique, là, il pourrait y avoir un intérêt d'avoir des
informations privilégiées sur l'état de situation des terres au Québec dans une
politique d'accaparement des terres. Il pourrait, mais c'est totalement
hypothétique, là. Et donc, les ministères concernés pourraient devenir des
sources d'information intéressantes.
Il pourrait y avoir un intérêt pour la
recherche. Alors, quels sont les domaines… Puis il faut comprendre que le
Québec jouit d'une particularité qui le rend particulièrement attrayant. D'une
part, le fait qu'on soit francophones fait en sorte que nos citoyens consomment
les services du Québec. Donc, les données qui sont générées sont générées à
l'intérieur du périmètre québécois, contrairement à un Américain, par exemple,
qui peut se promener partout au pays, puis pour consommer ses services. Donc,
ça, ça amène un volume de données sur une population bien définie,
8,5 millions d'habitants, qui est très intéressante en termes
d'échantillonnage.
En plus, on offre plusieurs services
publics à travers l'État, notamment les services de santé. Et, du fait qu'ils
sont sans paiement à l'utilisateur, bien, ça fait qu'il y a un volume
d'informations très important qui est généré, par exemple, par le réseau de la
santé et par notre réseau de l'éducation, par notre ministère des Transports,
etc.
Donc, ça fait du Québec une banque de
données qui est extrêmement intéressante parce qu'on a un échantillonnage qui
est significatif, de toutes les sphères, de toutes les couches sociales, de
toutes les tranches d'âge, de tous les niveaux d'éducation, dans des secteurs
d'utilisation des services où le Québécois va consommer à l'intérieur de son
système. Et donc, ça génère une banque de données qui est extrêmement
intéressante pour, notamment, les milieux de recherche.
M. Lacroix (Louis) : Ça coûte
combien toutes ces attaques-là? Est-ce qu'on est capables de chiffrer combien
ça coûte à l'État, se défendre puis les conséquences de tout ça?
M.
Caire
:
Écoutez, je mets un bémol à mon chiffre. Ce que j'ai lu, puis je pourrai
confirmer l'information, c'est que ça serait environ 2,8 à 3 millions, une
attaque réussie.
M. Lacroix (Louis) : Chaque
attaque?
M.
Caire
: Oui.
À peu près, en moyenne.
M. Lacroix (Louis) : Chaque
attaque coûte…
M.
Caire
: Mais
c'est un chiffre qui n'est pas québécois, là, c'est un chiffre qui est
planétaire. Donc, on n'a pas la moyenne au Québec, mais ce qui a été évalué de…
puis, encore là, comme je vous dis, là, je veux juste vérifier mon chiffre, là,
mais ce que j'ai lu, ce serait entre 2,8 et 3 millions, en moyenne.
Une voix
: …
M. Lacroix (Louis) : Pardon?
Je n'ai pas compris.
M.
Caire
: Parce
que M. Rodrigue dit, à raison, c'est du cas par cas, comme c'est la STM,
là, qui… ça a coûté…
Une voix
:...
M.
Caire
: Place
0-5, oui, ça a été plus élevé que ça, les montants, là, mais en moyenne, on
parle de… Parce qu'il faut comprendre, là, que le chiffre que je vous donne,
c'est la petite entreprise aussi, là, tu sais, il y a des attaques dans la
petite entreprise, ça va coûter… la rançon va être de 15 000 $.
Ceci étant dit, ce qui est intéressant,
c'est que le rançongiciel n'est pas le type d'attaque le plus fréquent. Le type
d'attaque le plus fréquent, c'est la fraude au vol d'identité. Ça, c'est le
type d'attaque… 47 % des attaques, des fraudes, des cyberfraudes, c'est de
la fraude à l'identité, 21 %, c'est les rançongiciels. Donc, on parle
beaucoup des rançongiciels, mais il faut comprendre que ce qui fait le plus mal
puis ce qui coûte le plus cher, c'est encore le vol d'identité.
Le Modérateur
: Est-ce
que nous en sommes maintenant à la partie anglaise de la conférence de presse?
Ça vous ça, M. Lacroix?
M. Lacroix (Louis) : Ça me
va, merci.
Le Modérateur
:
Mme Raquel Fletcher de Global.
Mme Fletcher
(Raquel) : Good morning. I also have a number
of questions that you've kind of touched on in French, but, for our English
viewers, at the very beginning of the conference, you said cyberthreats are the
new pandemic.
M.
Caire
: Yes.
Mme Fletcher (Raquel) : Is that an exaggeration?
M.
Caire
: No, it's not. No, it's not. It's not my word, I read it in a
newspaper, and a lot of experts are considering cyberattack as the new
pandemic.
Mme Fletcher (Raquel) : And why is that? Can you just qualify the scope of the… qualify the
problem of what… Paint us a picture of what's happening.
M.
Caire
: Yes. Well, because, first of all, it's easy to do. You know, a few
years ago, cyberattack was perpetrated by expert in that matter of IT. But now,
anyone who has a minimal level of skill could buy a ransomware and use it and
spread it anywhere, because digital worm make you able to communicate, to send
an email, send a «texto» to anyone, to… anywhere. So it's easy to do and it's,
you know, «payant», profitable, it's profitable and that's the reason why more
and more people doing so.
Mme Fletcher (Raquel) : Mr. Audrey, I think?
M.
Caire
: Rodrigue.
Mme Fletcher (Raquel) : Rodrigue, désolée, est-ce que vous parlez anglais aussi?
M. Rodrigue (Pierre
E.) : Quite so.
Mme Fletcher (Raquel) : A little bit, O.K. You said that the Government's sites and systems
are constantly being attacked, can you elaborate on that?
M. Rodrigue (Pierre
E.) : Yes, it's… as the others…
M.
Caire
: …about the curve.
M. Rodrigue (Pierre
E.) : …
M.
Caire
: Talk to us about the curve.
M. Rodrigue (Pierre
E.) : No. It's a joke.
Mme Fletcher (Raquel) : What is the curve?
M. Rodrigue (Pierre
E.) : No, no, it's an inside joke between the
Minister and me. Our systems are attacked by cyber pirates, as any systems in
the world. It's normal because we are exposed all over the world with Internet.
So, it's quite normal to have some… those attacks to our systems.
Mme Fletcher (Raquel) : But you wouldn't say how many attacks are successful?
M. Rodrigue (Pierre
E.) : No.
Mme Fletcher (Raquel) : OK.
M. Rodrigue (Pierre
E.) : Secret information.
Mme Fletcher (Raquel) : OK. Minister, you said there are about 10 ethical hackers who are
working with you, out of the goodness of their heart, why not put these people
on the payroll?
M.
Caire
: Oh! Because we don't put that system in place right now, but we're
working on it. But, you know, it's quite different to have bugs bonus, than
what we showed you today. We had to put in place legal environment, we have to
determine how much money we paid for which kind of a bug they find. We have to
put in place a secure environment because we want to work with ethical hackers,
but not with the other hackers that are not ethical. So, it's quite more
complicated to put in place, but we're working on it and it's a question of
time.
Mme Fletcher (Raquel) : So, the people who are signaling on this Web site will not be paid,
they shouldn't expect any sort of compensation?
M.
Caire
: No, no. If you look at the engagement, this is one of the
engagements, they do it for the community, not for the profit.
Mme Fletcher (Raquel) : I also wanted to follow up on the coroner's report concerning Joyce
Echaquan, what is your reaction to that report this morning?
M.
Caire
: Well, we agree that we have to move toward indigenous nation, it's
obvious for us, and that we have to work on the reconciliation, yes, but there
is no systemic racism in Québec. The system we put in place is not racist
itself, people are, but not the system.
Mme Fletcher (Raquel) : But more specifically, concerning Joyce Echaquan and the experience
that she faced in the hospital in Joliette, what is your reaction to the specific recommendations of the coroner?
M.
Caire
: Well, as my colleague, I found it unacceptable, and that kind of
matter couldn't be repeated, never ever. And my colleague, Ian Lafrenière...
we're working on it, working to work with First Nations and work on the fact
that we have to move towards each other. We have to listen up. We have to find
a path to live together in the same territory. There is no other choice than
working together, and we are really «conscient» of that, we're working on it,
but it doesn't mean that there is a system to put those people aside. I think
it's not the reality. And if we want to find a real solution, we have to
identify the real problem. And say it doesn't mean that we don't find any
problem, and everything is fine, no, that's not what we say. But telling that
there is a system to put in place and make our nation racist, no, I don't think
so, I don't think so. There are people who are racist, obviously, but not the
system, no.
Mme Fletcher (Raquel) :
Merci.
Le Modérateur
: C'est
ce qui met fin à cette conférence de presse. Je vous remercie, messieurs, pour
votre collaboration. Je vous souhaite un bon vendredi.
M.
Caire
:
Merci, à vous aussi.
(Fin à 10 h 23)