Contrer les brèches infonuagiques

Le projet d’Éric Caire consiste à regrouper ces 550 centres de données éparpillés un peu partout au Québec à trois endroits — le site principal serait situé dans la ville de Québec.
Photo: Valérian Mazataud Le Devoir Le projet d’Éric Caire consiste à regrouper ces 550 centres de données éparpillés un peu partout au Québec à trois endroits — le site principal serait situé dans la ville de Québec.

Après deux fuites massives chez Desjardins et Capital One à environ un mois d’intervalle, les doutes s’accumulent sur la privatisation des centres de données du gouvernement québécois. Et si la sécurité des informations des citoyens était mise en péril ? Les trois partis d’opposition demandent au ministre Éric Caire de reculer, mais celui-ci y voit le signe qu’il est sur la bonne voie. Or, la solution serait-elle plutôt de créer une nouvelle société d’État ?

C’est ce que croit le professeur d’informatique et de génie logiciel de l’Université Laval, Richard Khoury. Que les données des Québécois soient confiées à un géant américain comme Amazon ou une entreprise d’ici, il y a un risque qu’elles soient compromises.

« Les compagnies peuvent fermer n’importe quand, a-t-il expliqué en entrevue. Elles peuvent couper dans leur budget et dans leurs effectifs de sécurité pour augmenter leur marge de profit. »

La solution de rechange ? Créer une nouvelle société d’État qui procurerait la stabilité voulue et assurerait que ces données demeurent au sein du gouvernement tout en étant gérées par une agence autonome. « Un peu comme le modèle d’Hydro-Québec, a-t-il suggéré. C’est-à-dire une compagnie qui cherche à faire des profits, mais qui appartient entièrement au gouvernement québécois. Elle gérerait des centres de données à la fine pointe de la sécurité informatique. »

Ses sources de revenus pourraient provenir de la vente de services d’hébergement de données à d’autres gouvernements, à des municipalités et peut-être même à de petites ou moyennes entreprises.

« Toute l’expertise serait présente au Québec pour gérer et mettre à jour nos données », a avancé le professeur. Le gouvernement éviterait ainsi une perte de compétences similaire à celle qui s’est produite au ministère des Transports qui, durant des années, avait multiplié les coûteux contrats accordés à des consultants externes.

100 millions d’économies

Le ministre délégué à la Transformation numérique, Éric Caire, défend son approche. « S’il fallait garder 100 % de nos données, ça nécessiterait une infrastructure beaucoup plus importante en matière de ressources physiques et de ressources humaines », a-t-il affirmé en entrevue au Devoir. Le gouvernement aurait alors à débourser des sommes importantes pour tout mettre à niveau.

La première phase, qui consiste à consolider 120 centres de données d’ici 2023, coûtera 150 millions de dollars. Pour faire des économies, le gouvernement caquiste prévoit de stocker 80 % des informations des Québécois dans des serveurs du secteur privé. Les 20 % de données considérées comme très critiques, par exemple la liste des délateurs de la Sûreté du Québec, demeureront dans des serveurs appartenant à l’État. Un responsable de la cybersécurité vient d’être embauché pour s’assurer que ces renseignements critiques sont protégés adéquatement.

Ce qu’on constate avec Desjardins et Capital One, qui était en infonuagique, c’est que le fait de consolider n’est pas le problème. C’est le fait d’avoir des brèches de sécurité et de ne pas avoir de processus de détection et d’intervention rapide. C’est là où le bât blesse.

Selon les estimations gouvernementales, cette privatisation permettra de générer 100 millions d’économies annuelles à la fin du mandat caquiste. Les partis d’opposition et le Syndicat des professionnelles et professionnels du gouvernement du Québec (SPGQ) en doutent.

« Ils croient pouvoir faire des économies en s’adressant au privé, mais les expériences nous ont montré que c’est exactement le contraire qui s’est passé », a remarqué la première vice-présidente SPGQ, Lydia Martel, en rappelant les dépassements de coûts du logiciel SAGIR pour la gestion de ressources gouvernementales et du projet Dossier santé Québec.

« On ne voit pas comment, avec ces économies d’échelle, on va assurer une meilleure protection de ces données », a décrit le député péquiste Martin Ouellet en entrevue. « Allons-nous accepter de faire des économies de bout de chandelle sur la sécurité ? » a demandé, pour sa part, le député libéral Gaétan Barrette. Il dénonce l’influence du lobby de grandes entreprises comme Amazon auprès du gouvernement.

« Ce qu’on constate avec Desjardins et Capital One, qui était en infonuagique, c’est que le fait de consolider n’est pas le problème, a rétorqué le ministre Caire. C’est le fait d’avoir des brèches de sécurité et de ne pas avoir de processus de détection et d’intervention rapide. C’est là où le bât blesse. »

Un grand ménage s’impose, selon lui. Lorsqu’il a annoncé la première phase de cette consolidation en février, il avait indiqué que le Québec comptait 457 centres de données éparpillés un peu partout sur son territoire. L’élaboration récente de la deuxième phase, qui touche les réseaux de la santé et de l’éducation, a plutôt révélé qu’il y en avait 550 !

« Ça veut dire qu’on avait pratiquement une centaine de centres de traitement de l’information qui n’étaient même pas répertoriés, a-t-il constaté. Comment fait-on pour assurer la sécurité physique d’un aussi grand nombre de centres de traitement de l’information ? »

Il soutient que rien n’empêche actuellement un individu de se rendre dans les locaux où ces serveurs sont installés et de déposer leur contenu sur une clé USB.

« La sécurité, on pense que c’est juste des pirates informatiques dans leur sous-sol qui se servent de logiciels pour rentrer dans notre réseau, mais la sécurité physique est tout aussi importante, a-t-il ajouté. Dans un vrai centre de traitement de l’information, il faut qu’on contrôle les accès. Il faut qu’on contrôle qui sont les individus qui doivent y accéder, à quelle heure ils y accèdent, pourquoi, à quelle heure ils sont sortis, qu’est-ce qu’ils sont allés faire. Alors sur 550, pour combien de ces centres-là est-on vraiment capables de faire ça ? La vérité, c’est qu’on ne le sait pas. »

Le projet d’Éric Caire consiste à regrouper ces 550 centres de données éparpillés un peu partout au Québec à trois endroits — le site principal serait situé dans la ville de Québec et hébergerait aussi un site secondaire, et le troisième serait installé dans une autre région, possiblement aux alentours de Montréal.

L’appel de qualification pour la phase 1 est maintenant terminé, et les fonctionnaires sont en train de réviser les candidatures soumises par les entreprises. Impossible pour l’instant de savoir combien le gouvernement en a reçu, combien d’entreprises québécoises se qualifient et si les géants du Web américains comme Amazon se démarquent. M. Caire prévoit de présenter le plan de la phase 2 de son grand ménage au Conseil des ministres « bientôt », dit-il.