La cyberdéfense publique
Voir la vidéo de l’équipe lauréate et des deux équipes finalistes
Grâce à une plateforme innovante du ministère de la Cybersécurité et du Numérique, la population peut désormais signaler les lacunes dans la protection des applications et des sites Web gouvernementaux.
Août 2021 : un informaticien découvre une faille de sécurité dans l’application Vaxicode que le gouvernement vient tout juste de lancer. Cet outil technologique permet de télécharger les preuves vaccinales et de présenter un code QR obligatoire pour accéder à certains lieux publics en cette période d’éclosion de COVID-19. En quelques heures, l’homme arrive à fabriquer de faux certificats de vaccination pour des personnes fictives. Il tente de joindre les responsables du système pour les aider à colmater la brèche, mais sans succès. Il sonne alors l’alerte dans les médias. Un acte risqué, car pirater un site, même dans un but éthique, demeure un acte illégal passible de lourdes sanctions…
Voilà exactement le genre d’histoire que le Centre gouvernemental de cyberdéfense du ministère de la Cybersécurité et du Numérique préfère ne pas voir survenir. D’où son nouvel outil visant à encadrer l’exercice de la vigilance citoyenne.
Cybersécurité : l’affaire de tous
« Cela faisait déjà plusieurs mois que nous préparions une plateforme sécurisée de signalement des vulnérabilités », rappelle Francis Provencher, directeur de la prévention, de la détection et de la gestion des incidents au Centre. « Cet événement déclencheur a accéléré sa mise en place. Les experts en sécurité ou les citoyens qui découvrent des points faibles peuvent les révéler de façon anonyme, en bénéficiant d’une forme d’immunité. Il leur faut cependant respecter les règles de conduite spécifiées sur le portail. »
Pour ce faire, la personne doit d’abord se rendre sur la plateforme. Elle y a accès à un formulaire en ligne pour rapporter tout risque de cyberattaque ou d’atteinte à la confidentialité détecté sur les systèmes informatiques du gouvernement. Cela concerne aussi bien des serveurs de fichiers que des applications, des sites Web, des services numériques offerts au public ou des plateformes collaboratives.
Cette contribution citoyenne est bénévole. Elle peut venir d’un peu partout dans le monde, puisque la plateforme possède une version anglaise. Pour des jeunes qui démarrent dans la profession, c’est l’occasion d’étoffer leur portfolio et de se faire connaître des spécialistes de la cybersécurité. On peut même postuler pour un poste au Ministère. Le gouvernement demande en échange de ne pas consulter les données exposées par la faille repérée et de garder cette dernière confidentielle.
Une initiative novatrice du Québec
Depuis sa mise en place, il y a un an, la plateforme a déjà reçu 210 signalements. Après vérification par le personnel du Centre, 70 points faibles ont pu être corrigés. Inspiré des meilleures pratiques des entreprises privées, cet outil contribue donc à la sécurité des services numériques et au renforcement de leur résilience. Il permet aussi au Québec d’afficher sa position de chef de file en matière de cybersécurité, car aucune autre instance gouvernementale au Canada ne possède un tel dispositif. L’État fédéral a d’ailleurs signalé son intérêt pour l’expérience québécoise.
La nomination au prix Fonction publique de cette réalisation, qui a mobilisé une vingtaine de personnes au Centre gouvernemental de cyberdéfense, réjouit Francis Provencher. « Des employés de différents horizons et ministères ont participé à l’élaboration de la plateforme pour répondre à des enjeux éthiques, légaux, de communication et de sécurité informatique, explique-t-il. C’est une belle marque de confiance pour l’équipe. La preuve que cela vaut la peine de mettre en place des concepts innovants. »
Partenaire du prix : Caisse Desjardins de l’Administration et des Services publics