Les données de Québécois stockées dans les multiples centres de traitement sont vulnérables aux attaques informatiques, affirme le ministre délégué à la Transformation numérique, Éric Caire.
«La situation actuelle du Québec est à risque», a admis le ministre, lundi matin, en ouverture de la Semaine NumériQc, qui a lieu au Terminal de croisière, à Québec. «Il y a des brèches de sécurité».
Le Conseil du trésor a annoncé récemment son désir de placer au moins 80% des données des Québécois dans un système infonuagique appartenant à des entreprises privées comme IBM, Amazon et Microsoft. Les autres données, celles considérées comme les plus sensibles, seront protégées dans un nuage gouvernemental.
Ainsi, le gouvernement va éliminer les 457 centres de traitement informatique où sont hébergées nos données et n'en garder que deux principaux.
Pour la première fois, Éric Caire a brandi l’argument de la sécurité informatique pour justifier ce changement. Celle liée à nos données est défaillante, a-t-il mentionné devant un parterre d’experts en sécurité informatique.
En entrevue avec notre Bureau d’enquête, il a précisé sa réflexion: «Je ne veux pas laisser entendre que nous sommes complètement démunis, mais il y a du chemin à faire et il y a du travail à faire. Il faut s’y attaquer rapidement.»
Désuétude
M. Caire estime que la «dilution de l’expertise» due au grand nombre de sites de stockage met nos données à risque. «La qualité des installations physiques est aussi à géométrie variable. Il y en a d’excellentes [...] et il y en a d’autres qui sont des garde-robes dans un sous-sol. C’est épouvantable. Ç’a tient avec de la broche et de l’espoir», illustre le ministre.
Des dirigeants de certains centres ont d’ailleurs révélé au ministre qu’ils devaient investir des millions de dollars, car des systèmes «névralgiques» étaient à risque.
C’est pour cette raison que le gouvernement Legault a rapidement pris la décision se tourner vers l’infonuagique.
Déjà, le ministère du Conseil exécutif a signé un premier contrat spécifique en infonuagique, de gré à gré, avec Microsoft Canada, pour une somme de 800 000$.
Pas de protocole ?
Autre aveu du ministre Caire: Québec ne dispose pas de protocole en cas d’attaque informatique.
Certes, l’Équipe de réponse aux incidents de sécurité de l'information de l'Administration québécoise (CERT/TAQ) existe, note-t-il. Mais les organismes et ministères, travaillant chacun de leur côté, s’y réfèrent peu.
Sinon, ils le font trop tard: «Ça ne marche pas», dit-il.
«On va rapatrier le CERT/TAQ. On veut installer un triangle de sécurisé pour que les ministères et organismes soient reliés entre eux [...] Lorsqu’il va y avoir une brèche de sécurité dans une porte d’entrée, c’est l’ensemble du système d’alarme gouvernemental qui doit se déclencher», souhaite le ministre.
La semaine dernière, tous les ordinateurs du ministère de l’Énergie et des Ressources naturelles, et de celui des Forêts, de la Faune et des Parcs ont d’ailleurs été fermés en raison d’une attaque informatique.
Le ministre assure que les données n'ont pas été affectées.