/news/politics

Sécurité informatique: des hackers embauchés pour tester les failles du système du gouvernement

Québec payera des hackers s’ils trouvent des « bogues informatiques » sur les systèmes du gouvernement, dans l’espoir de rehausser la sécurité et trouver les vulnérabilités de ses actifs. 

Le ministre de la Cybersécurité et du Numérique, Éric Caire, lance le nouveau Programme de prime aux bogues, une première au Québec et au Canada. 

La plateforme « sécurisée » de la firme française YesWeHack sera mise à la disposition des gens qui se spécialisent dans la détection de vulnérabilités en matière de sécurité de l’information. 

Ils auront accès à certains actifs informatiques pour y trouver des failles qui peuvent compromettre la sécurité des données des Québécoises et des Québécois.

« C’est toute la communauté de la planète qui a accès au programme », affirme le ministre.

Il s’agit pour l’instant d’un projet pilote de 94 000 $. Une première tranche de 30 000 $ servira à payer l’utilisation de la plateforme et le reste de la cagnotte servira à payer les primes. 

 ENTREVUE avec Patrick Mathieu, cofondateur du Hackfest et expert en sécurité informatique 

Jusqu’à 7500 $ le bogue 

Une grille a été élaborée par le gouvernement, selon la criticité de la vulnérabilité des failles découvertes.

Par exemple, si le préjudice est bas et que la dangerosité est faible, le gentil pirate informatique recevra 50 $. 

Cependant, si le préjudice est exceptionnel et que la vulnérabilité est critique, il pourra toucher jusqu’à 7500 $ pour son acte de bravoure numérique. 

L’objectif est toutefois que le programme soit permanent. 

« La collaboration de la communauté de chercheurs en sécurité de l’information est essentielle afin de lutter efficacement contre les cybermenaces et les cyberattaques », déclare le ministre Caire, indiquant qu’un tel exercice permettra à ses équipes gouvernementales de « valider » le travail réalisé à l’interne. 

« Cette approche novatrice offrira assurément une plus grande force de frappe pour identifier les potentielles vulnérabilités et de les corriger rapidement. »

Pour participer, les hackers devront s’identifier et s’authentifier, précise M. Caire.

Aide extérieure 

La fonction publique pourrait ainsi régler un grave problème de recrutement, elle qui peine à attirer des experts en sécurité informatique en raison des conditions salariales peu alléchantes.

Les experts continueront de travailler dans le secteur privé, tout en aidant le gouvernement en échange de primes. 

« Est-ce que ça nous permet d’avoir accès à un très haut niveau de compétence à faible coût, la réponse est : très certainement, oui », dit Éric Caire. 

Selon le cofondateur du Hackfest, Patrick Mathieu, l’incitatif monétaire motivera les « chercheurs et chercheuses ». 

« Au-dessus de 5000 $, c’est très bon [...] Pour le gouvernement, c’est une manière de tester les projets sans payer des consultants à 200 $ ou 300 $ de l’heure », mentionne-t-il.   

Primes selon le niveau de préjudice   

  • Bas : entre 50 $ et 500 $ 
  • Moyen : entre 100 $ et 1000 $ 
  • Haut : entre 150 $ et 1500 $ 
  • Critique : entre 250 $ et 3000 $ 
  • Exceptionnel : entre 250 $ et 7500 $  

Source : ministère de la Cybersécurité et du Numérique

Commentaires

Vous devez être connecté pour commenter. Se connecter

Bienvenue dans la section commentaires! Notre objectif est de créer un espace pour un discours réfléchi et productif. En publiant un commentaire, vous acceptez de vous conformer aux Conditions d'utilisation.