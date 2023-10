Désormais, chaque fois qu’un ministère ou qu'un organisme gouvernemental voudra lancer une nouvelle application ou un site web, il devra offrir la possibilité à des pirates informatiques de le tester. Québec juge cette étape essentielle pour rehausser le niveau de sécurité.

Le Programme de prime aux bogues, lancé en projet-pilote en 2022, devient permanent. Il consiste à verser entre 50 $ et 7500 $ quiconque trouve une faille informatique dans les plateformes que le gouvernement met en ligne.

Depuis le mois de septembre, on demande aux ministères et aux organismes de l’utiliser pour leurs systèmes , a indiqué Éric Caire, le ministre de la Cybersécurité et du Numérique. Ils ont jusqu’au 31 décembre 2026 pour adhérer au programme.

Moins d’une dizaine d’entre eux y ont eu recours depuis le lancement du projet-pilote, se désole Éric Caire. Sont-ils réticents à l’utiliser pour une raison de coûts? Peut-être, mais il ne s’agit pas d’un argument valide, selon lui. Si leurs employés ont fait tous les tests requis préalablement à la mise en ligne, les pirates informatiques auront du mal à trouver des bogues.

Multiplier les tests informatiques grâce aux chercheurs de bogues

Éric Caire pense d’ailleurs que cet outil aurait dû être utilisé par la SAAQ . Évidemment, c’est facile de réécrire l’histoire, mais compte tenu de ce que l’audit nous a appris, je pense que SAAQclic aurait bénéficié grandement d’un passage à l’intérieur du Programme de prime aux bogues.

Le rapport de PricewaterhouseCoopers (PwC), qui avait pour mandat d’évaluer les causes du fiasco, indique que la plateforme aurait dû être testée davantage avant son lancement.

Il y a un mois, des sites du gouvernement du Québec ont aussi été visés par une cyberattaque d’origine russe. Cette intrusion n’aurait pas permis d’extraire de données personnelles ou des informations critiques, mais cet épisode a lancé un autre avertissement quant à la nécessité de protéger les mises en ligne.

Avec les événements récents, on s’est dit qu’il fallait faire quelque chose. C’est une excellente pratique de recourir au Programme de prime aux bogues. Ça met au jour des vulnérabilités. On est mieux de les découvrir dans un environnement comme ça, contrôlé, avec des gens qui ont une éthique et un cadre légal à respecter.

Les chercheurs de bogues, amateurs ou professionnels, qui participent à ce programme doivent effectivement s’identifier et ouvrir un compte afin de recevoir leur rémunération. Il est impossible d’agir de manière anonyme. Le montant remis varie en fonction du niveau de criticité de la faille informatique découverte.

C’est aussi un incitatif pour les ministères à faire beaucoup plus de tests en amont, parce que quand vous mettez votre [mise en candidature] sur le Programme de prime aux bogues, je pense qu’il y a une certaine fierté à dire qu’ils n’en ont pas trouvé ou qu'ils en ont trouvé très peu. C’est un stimulant , a dit M. Caire.

Le Québec est la seule province canadienne à faire appel à ce programme. Pour s’inscrire, les pirates informatiques doivent se rendre sur la plateforme française Yeswehack.com, sur laquelle un espace a été réservé par le gouvernement.

Ça nous permet d’employer les meilleurs chercheurs de bogues au monde pour s’assurer de la robustesse de nos applications.