Les «infonuages» québécois ne sont pas assez sécuritaires pour Québec

Le gouvernement Legault prévoit stocker 80% des informations de ses 457 centres de données dans des serveurs du secteur privé.
Photo: Thomas Coex Agence France-Presse Le gouvernement Legault prévoit stocker 80% des informations de ses 457 centres de données dans des serveurs du secteur privé.

Les entreprises québécoises risquent d’avoir de la difficulté à se qualifier pour les contrats d’infonuagique (cloud), a reconnu le ministre délégué à la Transformation numérique, Éric Caire, en entrevue au Devoir. Une situation qui risque de laisser le champ libre aux géants américains, comme Amazon, Microsoft, Google et IBM, durant la première année de migration des données des Québécois vers le secteur privé.

« Ces entreprises-là devront répondre à certains critères, notamment être certifiées ISO27001, ce qui est la plus haute norme de sécurité au niveau du stockage de données », a indiqué M. Caire.

La norme ISO27001 définit les meilleures pratiques en matière de cybersécurité, allant du niveau adéquat de ventilation des entrepôts qui abritent les serveurs aux procédures à suivre en cas d’incendie ou de séisme.

« Je vous dirais que les grands joueurs l’ont tous », a-t-il ajouté en faisant référence aux multinationales américaines. On réfléchit peut-être même à essayer de trouver un équivalent, parce que c’est peut-être au niveau de nos firmes québécoises que ça peut être un peu plus difficile. »

L’un des principaux joueurs québécois dans ce domaine l’a récemment appris à ses dépens. Micro Logic, qui compte des banques et des compagnies d’assurances parmi ses clients, n’a pas réussi à se qualifier.

« Ils n’auront aucun soumissionnaire conforme au Québec », a affirmé le président de l’entreprise, Stéphane Garneau, avec une pointe de déception dans la voix.

Ses récentes interactions avec les fonctionnaires l’ont laissé perplexe. Après avoir lu l’appel de qualification publié à la fin du mois de mars, il croyait pouvoir faire partie de la liste des entreprises qui seraient choisies pour les premiers contrats.

« Si on arrive au dépôt de la soumission et qu’on n’est pas là, le gouvernement va tout simplement dire “ils ne se sont pas qualifiés”, mais dans la vraie vie, ça va avoir été le gouvernement qui n’aura pas donné la chance aux fournisseurs locaux de se qualifier », a-t-il déploré.

Il avait pourtant reçu un accueil enthousiaste lorsqu’il avait présenté ses services aux ministères et aux organismes il y a quelques semaines dans le cadre d’une vitrine technologique.

« On voyait vraiment de l’intérêt au niveau de notre technologie et du potentiel de ne pas être obligés nécessairement d’envoyer les informations sur Amazon ou sur Google, a-t-il remarqué. Quand on est sortis de cette rencontre-là, on s’est dit “bon, il y a un réel intérêt, et ce n’est pas juste de la politique”. »

Norme ISO

Micro Logic a récemment franchi une première étape en vue d’obtenir un standard qui s’approche de la norme ISO27001, qu’elle prévoit atteindre en février 2020. Ce standard, soit le SOC2 de Type II, est plus facile à atteindre parce qu’il est plus souple que la norme ISO27001, qui va jusqu’à dicter la longueur des fils à utiliser pour brancher les serveurs informatiques.

Lorsque l’entreprise a demandé au gouvernement si elle pouvait soumettre sa candidature pour l’appel de qualification et y ajouter le rapport de vérification dans neuf mois pour confirmer qu’elle atteint les exigences, le refus a été catégorique.

« La présente démarche de qualification ne peut permettre aucun compromis en matière de sécurité », peut-on lire dans la réponse du gouvernement.

Le ministre Caire indique que le gouvernement est prêt à accepter le standard SOC2 de Type II comme équivalent à condition que les entreprises l’aient déjà en main.

« On ne peut pas présumer que l’entreprise va obtenir la qualification parce que, si on fait le transfert sous condition et qu’ils n’obtiennent pas la norme, ça veut dire que leurs processus de sécurité ne sont pas validés [par une firme externe] et là, on a confié de l’information à une entreprise dont les processus ne sont pas validés, donc il faut rétroagir, sortir nos données de là et, après ça, il y a des coûts, et c’est compliqué », a expliqué le ministre Caire en invitant Micro Logic à tenter sa chance à nouveau l’an prochain.

Privatisation des données

Le gouvernement Legault prévoit stocker 80 % des informations de ses 457 centres de données dans des serveurs du secteur privé. Les 20 % de données considérées comme très critiques, par exemple la liste des délateurs de la Sûreté du Québec, demeureront dans des serveurs appartenant à l’État. La première phase consiste à consolider 120 centres de données d’ici 2023. Un projet de 150 millions de dollars qui devrait générer 100 millions d’économies annuelles à la fin du mandat caquiste, selon les estimations gouvernementales.

Cette privatisation des données des Québécois a causé une certaine angoisse après son annonce en février. Le projet de confier leurs informations à des multinationales américaines a soulevé de nombreuses questions sur la sécurité de ces données. Seront-elles bien protégées ?

« Votre stratégie, c’est la première étape pour mettre fin au “Maître chez nous” parce que nos données, c’est la denrée la plus importante de tous les Québécois », a affirmé la députée libérale Marwah Rizqy en interpellant le ministre lors de l’étude des crédits lundi. Elle lui demande de mettre fin à sa réforme.

Les « dés sont pipés » pour favoriser les géants américains, selon le député de Québec solidaire Vincent Marissal, qui dénonce également une éventuelle perte d’expertise au sein de l’État.

« Le ministre est très pressé et il vient de planter un gros panneau à vendre en face de tous les centres de stockage de données et des renseignements personnels », a-t-il déclaré.