![[ENTREVUE] Éric Caire : « Le maillon faible de la chaîne de cybersécurité, c’est le facteur humain »](https://www.cscience.ca/wp-content/uploads/2023/11/caire-roxanne.jpg)
Au Forum InCyber en octobre dernier, la journaliste Roxanne Lachapelle a pu s’entretenir avec le ministre de la Cybersécurité et du Numérique, Éric Caire, dans le cadre d’une série d’entrevues menées dans l’espace dédié à CScience, à même le kiosque de la firme Bradley & Rollins, spécialisée dans le domaine de la cyberdéfense. CScience vous propose de découvrir les réponses inédites du ministre qui ont transparu lors des échanges quant à sa vision de l’innovation en cybersécurité et de l’évolution de la cyberhygiène des Québécois.
Des forums comme celui-ci permettent de voir l’ampleur de l’innovation qui se fait au Québec, notamment dans le domaine des technologies en finance. Comment percevez-vous cette innovation?
C’est quelque chose d’extrêmement important parce que le domaine de la finance est un secteur stratégique et est un secteur qui est, plus que d’autres, susceptible d’être victime de cyberattaques, non seulement pour des raisons de cybercriminalité parce qu’il attire la criminalité en général, mais aussi pour des considérations géopolitiques.
Le domaine de la cybersécurité doit nous prémunir de ces deux menaces. On a un contexte géopolitique, on va le dire, qui est explosif. Il y a des États délinquants, des États qui cherchent à déstabiliser nos gouvernements, nos sociétés, nos économies. Et donc ,le secteur de la finance est très évidemment un secteur qui est potentiellement ciblé.
« 80 % des attaques réussies sont dues à un facteur humain. »
– Éric Caire, ministre de la Cybersécurité et du Numérique
Justement, comment faire pour encadrer ce milieu-là, pour s’assurer que ce soit un endroit qui soit responsable, éthique et bien protégé?
Premièrement, au niveau du facteur humain, il faut absolument que les gens qui travaillent dans ce domaine soient conscients qu’il y a de la menace. Il faut qu’ils adoptent des pratiques dans l’univers numérique qui sont cybersécuritaires. 80 % des attaques réussies sont dues à un facteur humain. Le maillon faible de la chaîne de cybersécurité, c’est le facteur humain. Donc, il faut investir dans la formation, dans l’information, dans les bonnes pratiques des gens qui travaillent, pas simplement dans les réseaux de cybersécurité, mais à tous les niveaux.
Le deuxième élément, c’est que ce secteur doit soutenir l’innovation parce que les cyberattaquants, eux, vont vers l’innovation, vers les nouvelles technologies, se servent de l’intelligence artificielle et de toutes les nouvelles possibilités occasionnées par le numérique, afin de mener des attaques de plus en plus sophistiquées. Pour s’en protéger, il faut avoir des armes qui sont au moins équivalentes.
Et le dernier facteur, qui est peut-être moins naturel dans le domaine de la finance, c’est la coopération et la collaboration. Je dirais, en matière de cybersécurité, que la pire chose qu’on peut faire est de travailler en silo. Les cyberattaquants, les gouvernements qui ont des intentions moins nobles envers nous, travaillent en collaboration, travaillent en partage. Ils vont partager l’information, la technologie, vont partager le savoir et le savoir-faire. Alors, si on ne le fait pas, on se met dans une position désavantageuse.
On a effectivement un contexte géopolitique assez particulier en ce moment. Vous avez déjà mentionné vouloir développer un réseau beaucoup plus fort en cybersécurité au Québec, pour éviter des cyberattaques comme on en a eues par le passé. Comment se diriger vers ce meilleur système?
Il faut éviter les silos, et c’est vrai pour les entreprises, pour les organisations publiques civiles, mais aussi pour les gouvernements. Un gouvernement qui travaille en autarcie va se condamner à ne peut-être pas avoir accès à du savoir, à du savoir-faire, à de la technologie qui pourrait lui permettre de mieux protéger ses systèmes d’information.
C’est la raison pour laquelle le gouvernement du Québec a des ententes avec le gouvernement fédéral et avec les gouvernements des autres provinces. On a signé une entente avec l’Ukraine. On est en discussion pour signer des ententes avec le Luxembourg, la Belgique, la France. On veut vraiment étendre ce réseau-là et faire en sorte d’être de plus en plus de joueurs à se protéger et à s’aider, à se protéger mutuellement, afin que notre défense en soit meilleure.
https://www.cscience.ca/2023/10/05/finances-un-domaine-en-pleine-transformation-qui-integre-de-plus-en-plus-lia/
Vous avez également demandé au public d’intervenir en cybersécurité, avec le programme de primes aux bogues, qui était un projet pilote lancé en 2022, et qui est désormais permanent. Quel est le retour que vous avez quant à l’efficacité de ce programme?
Ça fonctionne très bien. En fait, le premier grand système qu’on a testé avec le programme de primes aux bogues, c’est le Service québécois d’identité numérique (…) Et quand on l’a déployé, on était sûrs que le système fonctionnait bien. Aujourd’hui, on a près d’un million de comptes qui ont été créés sur le service gouvernemental d’authentification, et on n’a aucun incident de sécurité rapporté. On n’a pas d’usurpation d’identité, pas de vol d’information, pas d’introductions frauduleuses dans les systèmes qui en dépendent.
Donc, on est vraiment satisfaits du résultat de la robustesse et de la sécurité que ça nous fournit, et on l’avait testé avec le programme de primes aux bogues initialement. Maintenant, des organismes gouvernementaux vont se servir du programme de primes aux bogues. Et s’il y a des leçons à tirer de la SAAQ, c’est que bien tester nos systèmes avant de les déployer, c’est impératif!
Justement, au chapitre des mesures que vous tentez d’instaurer au ministère, vous avez beaucoup parlé de l’importance de démocratiser les solutions de cybersécurité et les technologies numériques. Comment les rendre plus accessibles et compréhensibles?
Ça passe d’abord par la sensibilisation (…) et la cyberhygiène. Le premier gros obstacle à la cybersécurité, c’est d’avoir un faux sentiment de sécurité. Malheureusement, on est peut-être un peu dans cette dynamique, notamment avec l’utilisation des réseaux sociaux où l’on partage de façon très volontaire des informations privées, des informations qu’on pense anodines. Mais on oublie que les gens malintentionnés peuvent aller chercher des informations qui sont sur Instagram, TikTok, Facebook, et en faire une convergence pour monter un portrait qui est assez juste de l’individu.
Il faut aussi mettre en place des formations, et on l’a fait avec l’Académie de transformation numérique. Il ne faut pas penser que c’est limité aux seuls employés du gouvernement, c’est vraiment accessible à tout le monde pour développer cette cyberhygiène.
On sait que la cybersécurité inquiète vraiment beaucoup, notamment pour les entreprises. Une étude de Dévolution révèle que 94 % des PME québécoises se disent concernées par la cybersécurité. Pourtant, seulement 29 % des entreprises investissent dans une protection adéquate de leurs données. Comment les amener, au-delà de la sensibilisation, à prendre les actions nécessaires?
C’est une excellente question. Oui, les gens sont de plus en plus préoccupés par la cybersécurité mais, en même temps, ils n’ont pas une connaissance fine de ce que c’est, de ce que ça implique (…) Alors, ce qu’on doit faire, je pense, c’est travailler avec les organismes qui sont en contact avec les PME, avec les OBNL aussi, pour les sensibiliser, parce qu’il y a des mesures simples qui ne coûtent pas cher, qu’on peut prendre, qu’on peut mettre en place.
« (…) il y a les technologies qui sont des « gadgets », mais il y a des technologies qui sont porteuses d’avenir. Il faut être capables de faire la différence entre les deux (…) »
– Éric Caire, ministre de la Cybersécurité et du Numérique
(…) La cybersécurité, ce n’est pas nécessairement d’avoir des systèmes super performants avec de l’intelligence artificielle, des ordinateurs quantiques, ou de mettre en place de grandes mesures à n’en plus finir. C’est (de réaliser l’impact) des petits gestes qu’on pose au quotidien, c’est de ne pas donner des informations, c’est de faire une vérification avant de cliquer sur un lien dont on devrait se méfier.
https://www.cscience.ca/2023/06/07/cybersecurite-les-entreprises-du-quebec-de-plus-en-plus-a-risque/
Est-ce que vous constatez une évolution ou une amélioration en matière de cybersécurité?
Oui, ça change. 94 % des entreprises se sentent concernés; je pense que c’est un immense pas en avant qu’on ait cette conscience que la cybersécurité est un enjeu dont on doit se préoccuper. On dit que d’être conscient d’un problème, c’est la moitié de la solution. Bien, je pense qu’on a trouvé la moitié de la solution. Maintenant, comme je vous le dis, ce qu’il reste à faire, c’est d’expliquer aux gens quels gestes ils peuvent poser pour faire le reste du chemin.
Comment faire en tant que ministère pour rester à jour, pour ne pas s’essouffler, pour ne pas prendre de retard dans un milieu qui évolue aussi rapidement?
On a créé le Centre québécois d’excellence numérique, dont l’objectif est de rester en contact avec l’écosystème. Vous savez, le rôle du gouvernement, ce n’est pas nécessairement d’être un innovateur. Le rôle du gouvernement, c’est de créer des conditions gagnantes pour que les innovateurs puissent innover. Et ensuite, nous, on doit rester en contact avec ces organisations qui innovent, qui font la recherche, qui nous amènent vers le monde du futur, vers le numérique du futur. Et, malheureusement, je dirais que le gouvernement avait cette tendance à se couper de cet univers et d’être dans une posture plus passive. Avec le Centre québécois d’excellence numérique, on veut intégrer l’écosystème, on veut rester en contact avec l’écosystème, on veut voir où l’écosystème veut et peut nous emmener.
À partir de là, il y a évidemment une sélection à faire parce qu’il y a les technologies qui sont des « gadgets », mais il y a des technologies qui sont porteuses d’avenir. Il faut être capables de faire la différence entre les deux (…) Il faut aller vers les technologies porteuses et être des complices, des innovateurs dans le développement et dans la mise en application de ces technologies-là. Ça nous garde dans l’innovation, ça nous garde à jour et c’est, je pense, la meilleure façon de lutter aussi contre la désuétude de nos systèmes.
À voir également :
https://www.cscience.ca/2023/06/08/en-mode-solution-reinventer-nos-villes-et-mieux-gerer-les-donnees-municipales/
Crédit Image à la Une : CScience et Bradley & Rollins
![[Tournage d’un C+Clair] « Comment le génie révolutionne-t-il le sport ? » : Réservez votre place!](https://www.cscience.ca/wp-content/uploads/2024/03/emission-speciale-cclair-genium3-480x362.png)
![[Émission C+Clair] Maladies rares : comment optimiser les efforts de la recherche ?](https://www.cscience.ca/wp-content/uploads/2024/04/emission-maladies-rares3-480x362.jpg)
