To use the Calendar, Javascript must be activated in your browser.
For more information

Home > Parliamentary Proceedings > Committee Proceedings > Journal des débats (Hansard) of the Committee on Public Finance

Advanced search in the Parliamentary Proceedings section

Start date must precede end date.

Skip Navigation LinksJournal des débats (Hansard) of the Committee on Public Finance

Version préliminaire

42nd Legislature, 2nd Session
(October 19, 2021 au August 28, 2022)

Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.

Pour en savoir plus sur le Journal des débats et ses différentes versions

Tuesday, April 26, 2022 - Vol. 46 N° 25

Étude des crédits budgétaires du ministère de la Cybersécurité et du Numérique


Aller directement au contenu du Journal des débats


 

Journal des débats

9 h (version non révisée)

(Neuf heures trente et une minutes)

Le Président (M. Simard) : Bonjour à tous. Bon, mardi matin. Je constate que nous avons quorum, heureux de vous retrouver. Nous pouvons donc amorcer nos travaux. Et comme vous le savez, la commission est réunie afin de procéder à l'étude des crédits budgétaires du portefeuille Cybersécurité et Numérique pour l'exercice financier 2022‑2023. Une enveloppe de deux heures a été allouée pour l'étude de ces crédits. Mme la secrétaire, bonjour!

La Secrétaire : Bonjour.

Le Président (M. Simard) : Y a-t-il des remplacements ce matin?

La Secrétaire : Oui, M. le Président : M. Émond (Richelieu) est remplacé par Mme Boutin (Jean-Talon); Mme Foster (Charlevoix—Côte-de-Beaupré) est remplacée par M. Allard (Maskinongé); et M. Barrette (La Pinière) est remplacé par M. Kelley (Jacques-Cartier).

Le Président (M. Simard) : Vous connaissez nos règles, elles sont claires. Nous allons procéder par blocs d'échanges d'environ 17-18 minutes par alternance et, au terme du temps qui nous est dévolu, nous allons procéder au vote sur nos crédits. Puisque nous avons légèrement dépassé le temps de début de notre scénario. J'aurais besoin d'un consentement afin de poursuivre au-delà de l'heure requise. Il y a consentement. Et je cède immédiatement la parole au porte-parole de l'opposition officielle. Cher collègue, soyez le bienvenu.

M. Kelley : Merci beaucoup, M. le Président. Je suis très content d'être ici ce matin pour discuter les crédits, pour la première fois, à le ministère de la Cybersécurité et la Transformation numérique. Je pense que je vais juste commencer avec des questions. Pendant la semaine de la relâche, M. le ministre, on a eu deux nouvelles, une concernant un lien vers un site pornographique, de ce que je comprends, c'était peut-être une erreur humaine. Mais une autre, un lien ou vers... sur le site du ministère des Transports qui a dirigé les gens vers des médicaments de Viagra, si je comprends bien les nouvelles que j'ai vues. Dans ces deux incidents, ici, je veux bien comprendre, dans votre rôle comme ministre responsable, pour bien informer vos collègues et les autres ministères sur comment bien gérer notre système, quelles étapes est-ce que vous avez prises depuis que vous a été nommé ministre pour s'assurer que ce type d'événements n'arrive pas, mais aussi, dans le deuxième cas, est-ce que vous avez fait une enquête avec vos collègues pour mieux comprendre qu'est-ce qui est arrivé?

M. Caire : O.K. Tout d'abord, au niveau du ministère, ce qu'on a fait, c'est on a créé ce qu'on appelle le centre gouvernemental de cyberdéfense et, dans chaque ministère et organisme, des centres opérationnels. Donc, l'objectif, c'est de créer un réseau qui travaille en collaboration, au lieu que chaque organisation soit responsable de la cybersécurité de ses systèmes...


 
 

9 h 30 (version non révisée)

M. Caire : ...d'information. Donc cette complicité-là, cette interaction-là permet de mettre en place après ça, grâce à la loi 95, des mesures, les quinze mesures qu'on a demandées, quinze mesures minimum qu'on a demandées à tous les ministères et organismes, de mettre en place pour assurer la protection de leurs systèmes d'information. Dans le cas que vous soulevez, M. le député de Jacques-Cartier, bien, c'est des erreurs humaines. Donc, oui, on a fait des vérifications, on n'a pas fait d'enquête, on n'a pas eu besoin de faire une enquête, c'est des vérifications, et des gens qui ont les autorisations pour mettre en ligne ces sites-là, ces liens-là de redirection, malheureusement ont commis une erreur, et, d'après moi, ils sont en train de le payer très cher, M. le député. Donc malheureusement il n'y a rien qu'on peut faire pour contrer l'erreur humaine. Mais en termes de protection, ce qu'on a fait, c'est vraiment mettre en place un réseau qui travaille en collaboration pour s'assurer de la protection de nos systèmes d'information.

M. Kelley : ...je comprends mieux maintenant le contexte, les deux cas-là, mais encore, si jamais comme un lien est pris par un hacker puis, c'est sûr, un site... Parce qu'on sait, le gouvernement a plein des sites, plein de liens vers... si c'est des communiqués de presse, des différents documents, mais quel type de surveillance est ce que votre ministère, et quand même le gouvernement, en général, est capable de le faire, pour faire des révisions, juste en général, pour voir comme tester des sites qui sont moins utilisés, pour voir est-ce qu'il y a des points de rentrée, peut être des sites vulnérables, quel type de révision est-ce qui est présentement en place pour bien s'assurer que notre information est bien protégée?

M. Caire : Bien, essentiellement, je vous dirais, de base, là, il y a d'autres mesures qu'on met en place, mais de base, les trois tests qu'on va faire, c'est ce qu'on appelle des balayages. Donc on a un outil, qui est un outil québécois, soit dit en passant, un excellent outil, qui va nous permettre de scanner les sites qui sont visibles depuis Internet et chercher des vulnérabilités. Ça, c'est la première chose qu'on va faire. Compte tenu du très grand volume de sites dont le gouvernement dispose, qui sont visibles depuis Internet, évidemment, là, il faut travailler sur augmenter notre capacité de volume, donc faire plus de ces tests-là. Mais essentiellement, ça, c'est les tests de base.

Il y a aussi des tests d'introduction. Donc on va essayer de forcer le système pour s'introduire dans... trouver des vulnérabilités, des failles pour lesquelles on... qui seraient disponibles et donc pour par lesquelles on pourrait entrer dans le système, puis là, à partir de là, ce qu'un hacker ferait, donc prendre le contrôle du système ou injecter un code malicieux. Donc un hyperlien, comme vous le référez, ça peut être fait par une injection de code. Donc c'est quelqu'un qui va mettre ce code-là, qui fait que l'hyperlien, au lieu de se rediriger vers l'endroit où on veut, va vous rediriger vers un site moins licite.

Et le troisième type de test qu'on va faire, c'est des simulations d'hameçonnage auprès des employés du gouvernement. Donc on va envoyer des courriels volontairement malicieux pour voir comment l'employé va réagir par rapport à ce test d'hameçonnage là. Et évidemment, vous comprendrez qu'il n'y aura pas de conséquences négatives à cliquer sur le lien faussement malicieux, mais ça nous permet après ça de faire de la pédagogie auprès de nos employés. Donc, essentiellement, les trois grandes mesures qu'on va prendre pour tester nos systèmes, c'est ça.

M. Kelley : Merci beaucoup. Oui, c'est sur la question des gens qui écrivent le code. Présentement, il y a combien de gens au sein du gouvernement du Québec qui sont capables d'écrire, préparer le code pour le gouvernement? Et, j'imagine, il faut souvent aller à l'extérieur pour trouver ce type expertise, mais est-ce que c'est quelque chose qui vous préoccupe, notre capacité d'écrire le code à l'interne? Puis avec les défis de la main-d'œuvre qui est soulignée dans le cartable des crédits, je veux juste avoir votre vision, puis aussi juste un état de la situation pour faire le recrutement des gens qui sont capables de faire ce type de travail pour le gouvernement du Québec. Et quand même, c'est quoi notre approche pour embaucher des gens à l'extérieur de l'État, des firmes privées? Alors ça, c'est la prochaine question pour vous, M. le ministre.

M. Caire : Oui. En termes d'emploi, là, grosso modo, on est à 23 000 employés qui travaillent en TI, pas simplement des gens capables de générer du code, là. Vous comprendrez qu'il y a toutes sortes de métiers en technologies de l'information. On est à 23 000, globalement, au gouvernement du Québec, on est à quoi, 4 000.... On est à... externe, on est à...

M. Caire : ...externes, donc on a un ratio d'à peu près 20-80, qui est, je vous dirais, raisonnable dans les circonstances. Au ministère de la Cybersécurité et du Numérique, c'est un peu différent. Notre ratio internes-externes est plus de l'ordre de 70-30, parce que... puis même, on est peut-être plus, même plus à 60-40, là, on est à 38 %, je pense, d'externes, parce que deux choses. D'abord, on a des projets avec des niveaux de difficulté technologique très élevés : l'identité numérique, la consolidation des CTI notamment, qui sont techniquement complexes. Au niveau de la cybersécurité aussi, on met en place, là, des mesures de protection, des mesures de chiffrement qui ont un niveau de complexité qui est plus élevé, qui nécessitent une expertise dont nous ne disposons pas. Mais, par contre, les ententes que nous avons avec ces externes-là, c'est qu'il doit y avoir... oui, il y a un service, mais il y a aussi un transfert d'expertise. Donc, il faut, pendant la prestation de service, que l'expertise qui est générée par ça soit transférée à nos internes. Donc, on est à peu près dans ces ratios-là, M. le député.

• (9 h 40) •

M. Kelley : Encore sur la main-d'oeuvre. Chaque ministère a dû faire face à la compétition avec le secteur privé. Depuis que vous avez rentré en poste comme ministre, selon vous, c'est quoi, les défis devant nous présentement pour recruter plus de talents? Je comprends l'aspect de faire le transfert de certaines expertises avec les entreprises privées. Mais juste, selon vous, quand la fonction publique lance un appel d'offres pour trouver les gens qui sont capables de travailler dans l'informatique, est-ce que c'est une question de salaire? Est-ce que c'est une question, vraiment, il y a juste, dans ce monde, présentement, une grosse et forte demande pour ce type de talent? Alors, je veux juste vous entendre sur ça.

M. Caire : Mais, en fait, la façon dont on procède, dans un premier temps, on souhaite reconvertir ou requalifier des employés qui sont en technologies de l'information déjà, mais qui travaillent sur des technologies qui sont soit désuètes soit en voie de l'être. C'est pour ça qu'on a mis en place l'Académie de transformation numérique pour permettre à ces employés-là de se requalifier dans des technologies plus porteuses. C'est déjà des gens qui sont au sein de la fonction publique, donc on sait qu'ils souhaitent embrasser une carrière dans la fonction publique. Donc, la capacité de rétention avec ces gens-là, elle est déjà démontrée. Ça, c'est un premier élément.

Un deuxième élément, on fait beaucoup d'opérations de visibilité, des vitrines inversées pour montrer quels sont les projets du gouvernement, parce qu'on a des projets qui sont attractifs par eux-mêmes, à savoir, là, l'identité numérique. C'est un défi technologique très important, j'ai, derrière moi, là, des personnes qu'on a recrutées du secteur privé parce que les défis qu'on leur proposait étaient à la hauteur de leurs aspirations. Je vous présente notre sous-ministre adjoint à la Transformation numérique, sous-ministre adjoint à la sécurité de l'information, à la Cybersécurité, qui ont vu dans ce que... puis ceci sans égard à ceux qui étaient déjà là, puis qui sont des soldats de la première heure, puis qui sont d'une compétence extraordinaire, puis mon Dieu que je vous aime bien. Donc, mais c'est pour dire que les projets qu'on met de l'avant sont attractifs, ont une valeur d'attractivité, le ministère de la Cybersécurité et du Numérique aussi, parce que ces talents-là ne sont plus dilués dans des ministères dont la vocation est autre, donc ils se retrouvent vraiment au sein d'un ministère ou cette expertise-là est valorisée.

Troisième élément, vous l'avez soulevé, M. le député, la question salariale, évidemment. Le gouvernement du Québec, on joue, là, grosso modo, à peu près à 25 % en bas de ce qui se fait sur le marché de nos grands compétiteurs qui sont les sociétés d'État, qui sont les grandes villes du Québec et qui sont les entreprises privées. Ceci étant dit, je ne pense pas que d'essayer d'entrer dans une espèce de surenchère salariale va nous amener là où on va aller. Premièrement, on n'a pas la flexibilité de faire ça. Vous savez, les négociations de convention collective, c'est un processus qui est long, alors que l'entreprise privée, elle est capable de s'ajuster du jour au lendemain.

Donc, ce qu'on fait, c'est plus travailler, maintenant, en collaboration avec l'écosystème. Par exemple, vous le savez, là, mon collègue à l'Économie a annoncé des zones d'innovation. Bien, nous, après ça, on s'en va vers ces zones d'innovation là. Et le Centre québécois d'excellence numérique a le mandat de développer des antennes. Pourquoi? Parce que ce savoir-faire-là, on veut être capable... Je vous donne un exemple, M. le député, Yoshua Bengio, on n'a pas les moyens, au gouvernement du Québec, de payer un personnage de ce calibre-là. Par contre, en collaborant avec le Mila, dans nos projets...

M. Caire : ...on peut travailler avec M. Bengio sur nos projets, s'associer à M. Bengio, bénéficier de son expertise, de son savoir-faire, et c'est un peu plus comme ça qu'on va travailler, donc en collaboration puis en... avec l'écosystème, on est capable d'aller... Puis même, je vous dirais, au niveau de l'écosystème, eux vont être contents, parce qu'eux non plus n'ont pas intérêt à se lancer dans une surenchère salariale, parce que, oui, ils ont plus de moyens, mais, à un moment donné, «sky is not the limit», là.

M. Kelley : Merci, M. le ministre. Juste une question sur ce centre de conformation. Il y a environ combien de personnes qui font les formations informatiques chaque année, les gens qui sont vers la fin peut-être de leur carrière, où, quand même, leurs expertises dans une certaine technologie viennent à la fin d'une vie? Alors, il y a combien de personnes chaque année qui sont reformées un petit peu dans l'informatique?

M. Caire : Bien, compte tenu que la mesure est assez récente, donc que la mise en place complète de l'Académie de transformation numérique s'est terminée en 2021, fin 2020, début 2021, pour l'ensemble du parcours... Parce que mettre en place l'académie a été une chose, mais offrir des parcours qui étaient vraiment en fonction de la vision gouvernementale de la transformation numérique, ça, c'était autre chose. Donc, c'est relativement récent, d'une part, et, d'autre part, je vous dirais que les ministères et organismes ont encore la gestion de leurs ressources humaines. Donc, nous, ce qu'on va faire, avec le sous-ministre, c'est de s'assurer des orientations qu'on va prendre en matière de transformation numérique, de faire des choix technologiques aussi, parce qu'on ne veut pas avoir une espèce de macédoine de technologies, là, ça prend une interopérabilité, et chaque ministère et organisme va nous soumettre un plan de transformation numérique. Donc, à partir du moment où on a défini les objectifs de transformation numérique puis qu'on a priorisé les systèmes, les besoins technologiques vont être mieux connus, puis, à partir de là, bien, vers quels centres de formation on va orienter nos employés, on va être plus à même de le savoir. On a déjà des chiffres, M. le député. Là, je ne les ai pas en ma possession, mais je m'engage à les transmettre à la commission, là.

Une voix : ...

M. Caire : Oui, mais je veux dire avec une ventilation par formation. C'est ça que vous voulez avoir, monsieur, qui a fait des formations en cybersécurité, entre autres? Je vais vous transmettre ça, M. le député, je vais les déposer à la commission. Là, ce n'est pas un secret d'État, là, ça fait qu'il n'y a pas de problème, on va s'assurer de vous avoir ça d'ici la fin de la journée.

M. Kelley : Parfait. Honnêtement, j'étais juste curieux pour savoir ça. Suite à notre discussion, je trouve ça... Bien, c'est très intéressant, mais c'est sûr que ce n'est pas facile, parce que, ça... la technologie change rapidement. Alors, pour l'État, de faire... de courir après les technologies de temps en temps, c'est une bonne chose qu'on ait un centre de formation, mais je suis juste curieux combien de gens sont comme obligés de faire ça en général.

M. Caire : Bien, c'est pour ça... Si je peux me permettre, M. le député, c'est pour ça qu'on est... on veut s'inscrire maintenant, avec le ministère de la Cybersécurité et du Numérique, dans un processus de formation continue. Malheureusement, quand on travaille en technologies de l'information, on est un éternel étudiant, là; il faut être conscient de ça quand on embrasse une carrière comme celle-là, on est un éternel étudiant, on va être en apprentissage toute sa carrière. Malheureusement, je vous dirais que cette gestion-là, cette vision-là de la gestion des talents au sein du gouvernement n'a peut-être pas toujours été présente, mais on va s'assurer, avec l'académie et le ministère, de changer cette dynamique-là.

M. Kelley : Parfait. Il y a combien de temps qu'il reste, M. le Président?

Le Président (M. Simard) : Il vous reste six minutes, cher collègue.

M. Kelley : Merci, M. le Président. Alors, je vais aller sur un autre sujet. Peut-être qu'on va poursuivre notre discussion après. Mais je reviens sur la question que j'ai posée à vous en Chambre. En octobre 2021, vous avez dit dans une entrevue avec Patrice Bergeron, de La Presse Canadienne, qu'il est clair qu'il y a dans le monde des groupes bien organisés, bien financés, des hackers qui sont des groupes qui sont organisés et financés par les... des États qui nous ciblent. C'est une des raisons pourquoi j'ai posé une question en Chambre, parce que c'est clair que, depuis le 1ᵉʳ octobre 2021, c'était sur votre radar déjà qu'il y a des États qui ciblent nous, qui ciblent nos systèmes, qui ciblent nos entreprises, et maintenant, après la guerre qui a commencé en Ukraine, on a clairement entendu des menaces de M. Vladimir Poutine, puis, lui et... il menace sur des... beaucoup de différentes formes, on peut dire ça comme ça. Des fois, c'est nucléaire, mais c'est clair qu'une attaque... une cyberattaque est toujours une possibilité. L'autre jour, quand même, The Five Eyes ont lancé encore un appel à toutes les démocraties, les États de l'Ouest d'être très, très vigilants, parce que, selon eux autres, selon leurs informations...

M. Kelley : ...c'est possible qu'il y ait une grosse attaque qui va être lancée contre nous. Et on sait, on a vu des exemples en Allemagne ou quand même en Ukraine, quand l'Ukraine a été attaquée par la Russie, une cyberattaque, ça a eu des ruptures de service partout dans le monde parce qu'on est hyper interconnectés comme ça. Et quand même la White House, la semaine dernière, a repris un petit peu certaines mesures. Ils ont communiqué clairement avec les secteurs privés des États pour dire : Assurez-vous que vous êtes prêts pour quelque chose, une attaque.

Alors, je veux savoir parce que, quand j'ai regardé sur le site web de votre ministère, je n'ai pas nécessairement vu un signe clair ou un message clair du gouvernement du Québec pour dire à nos entreprises, à tout le monde : Être prêts, communiquez avec nous, travaillons tous ensemble. Je ne dis pas que ce n'est pas de votre intention de ne pas le faire, ou quand même que vous n'avez pas peut-être déjà parlé avec tout le monde, mais c'est juste... c'est intéressant qu'on arrive dans une situation maintenant ou la défense nationale est un petit peu déléguée vers les tous États, et j'inclus aussi les municipalités. Tout le monde doit être prêt parce que, comme je dis, je répète, on est interconnectés.

• (9 h 50) •

Alors, encore, je sais que vous avez mentionné un centre de cyberdéfense qui est déjà en place au sein de le gouvernement. Mais encore, M. le ministre, quelles actions est-ce que vous avez prises, mais aussi c'est quoi votre intention de continuer d'informer la population? Parce qu'honnêtement je suis loin d'être un expert dans ce sujet, mais je suis allé regarder dans les Foreing Affairs, The Economist, quand même juste regarder dans La Presse, Le Journal de Montréal ou du Québec, puis on voit que, ce sujet, ça revient souvent. Mais les gens ne comprennent pas trop comment la cyberdéfense marche non plus. C'est juste une question pour vous et une grosse, longue question, et j'ai hâte de juste vous entendre sur qu'est ce que le Québec a fait depuis la guerre en Ukraine a commencé et depuis qu'on a reçu des menaces comme une démocratie, de la Russie.

M. Caire : Bien, premièrement, M. le député, on a pris cette situation-là très au sérieux, puis ça semble niaiseux comme réponse, là, mais je vous dirais malheureusement trop d'organisations se disent : Voyons donc, voire si les Russes vont s'intéresser à moi. Et je ne je ne vais pas donner d'idées à personne, mais faites juste imaginer, faites juste imaginer si on attaquait Hydro-Québec et qu'on réussissait à cesser la production d'électricité, en plein mois de février, dans le nord-est des États-Unis, pas juste au Québec, parce qu'on fournit de l'électricité aux Américains, là, ça fait que, s'ils voulaient attaquer les Américains, on est une belle courroie de transmission. Alors, on... puis ça, ce n'est pas pour donner des idées à personne, parce que sachez que tout le monde est déjà pas mal au courant qu'Hydro-Québec est une cible. Il y en a d'autres, il y en a d'autres, puis là, je vais me garder une petite gêne, mais il y en a d'autres. Il y aurait d'autres façons d'attaquer l'économie du nord-est des États... bien, des États-Unis et du Canada. Donc, on prend ces menaces-là très au sérieux.

Maintenant, qu'est ce qu'on fait? Premièrement, dans le dernier budget, le ministère des Finances nous a octroyé une somme de 100 millions de dollars consacrée exclusivement à la cybersécurité. Vous admettrez que c'est quand même un montant qui est conséquent. Alors, qu'est ce qu'on veut faire avec ça? Bien, on veut renforcer tout le réseau de cyberdéfense. On a identifié avec le sous-ministre adjoint, M. Waterhouse, on a identifié quelles étaient les cibles potentielles pour une cyberattaque. Qu'est-ce qui nous ferait mal? Alors, sans aller dans le détail, penser à tous nos réseaux de distribution. J'ai parlé du réseau de distribution électrique, mais toutes les autres, toutes les autres chaînes de distribution, et donc ce qui y est associé, deviennent potentiellement une menace. Donc, on les a identifiés. Dans le cas où ce sont des infrastructures critiques contrôlées par l'État, on a alloué des ressources supplémentaires, ressources humaines, mais des ressources financières et des ressources matérielles parce que la cyberdéfense évidemment nécessite aussi des outils de défense. Donc, on a alloué des sommes supplémentaires pour aider ces organisations-là à augmenter leur niveau de défense, de surveillance. On a aussi une entente qu'on a signée avec le Centre de la sécurité des télécommunications du Canada qui est l'organisation qui s'occupe de la cyberdéfense canadienne. Donc, on a une entente signée avec eux qui nous permet des échanges d'expertises, des échanges de technologies et, évidemment, des échanges d'informations. On s'inscrit évidemment dans les réseaux CERT qui sont les réseaux d'alerte...

Le Président (M. Simard) : Très bien. Vous pouvez finir votre phrase, vous savez.

M. Caire : On y reviendra.

Le Président (M. Simard) : On est en alerte, mais pas à ce point-là.

M. Caire : Je suis à a CERT, M. le député, souvenez-vous de ça.

Le Président (M. Simard) : Très bien...

Le Président (M. Simard) : Alors, merci à vous deux, chers collègues. Je cède maintenant la parole au député de René-Lévesque, qui dispose de 16 minutes.

M. Ouellet : Merci beaucoup, M. le Président. Donc, à mon tour de vous saluer, M. le ministre. On va commencer par le bordel informatique, vous connaissez ça, dans l'opposition, vous l'avez critiqué.

M. Caire : ...c'est du passé.

M. Ouellet : Bien, c'est du passé? Une nouvelle du 10 février 2022 : Bordel informatique, déjà une tempête au ministère de Caire. Un mois après la création du ministère, M. le ministre, vous perdez votre sous-ministre, Monsieur Guy Rochette. Monsieur Rochette était avec nous lorsqu'on a fait plein de projets de loi, justement, pour nous amener à la création de l'ITQ et aussi à la création du ministre... du ministère, pardon, de la Cybersécurité. Un audit dévastateur faisait état de problèmes de sécurité et de risques de défoncer des budgets et des retards importants a amené au congédiement, proprement dit, du sous-ministre.

Je vais vous citer, parce qu'on va travailler ensemble sur les réponses que j'essaie d'obtenir : «Le ministère de la Cybersécurité admet que sa nouvelle administration ne répond pas aux attentes et il promet des changements radicaux.» Ça ne se passe pas à votre goût, vous voulez corriger la situation et vous dites que ce n'est pas vrai que le ministère va devenir un nouveau CSPQ, avec vous comme ministre, ça n'arrivera pas. Vous avez confirmé que plusieurs problèmes existaient avec Infrastructure technologique Québec, mais vous avez refusé de commenter le départ à la retraite du sous-ministre. Donc, j'aurais deux questions. Donc, qu'est-ce qui s'est passé? Pourquoi le départ du sous-ministre suite à cet audit? Et surtout, quels sont les changements radicaux que vous voulez opérer suite à la création de ce ministère, qui, je pense, a créé de nombreuses attentes pour les Québécois et Québécoises?

Le Président (M. Simard) : M. le ministre.

M. Caire : Je suis tout à fait d'accord avec vous, je pense que les attentes sont très élevées, et de ce fait, vous comprendrez que notre obligation de résultat est directement proportionnelle aux attentes. Ce qui s'est passé, c'est assez simple, en fait, c'est qu'on a opéré trois transformations en même temps. La première, c'est qu'on est passé du CSPQ, qui était une organisation très large, là, qui couvrait vraiment très large, trop large, vers l'ITQ, une organisation qui visait à se concentrer sur les infrastructures. Pour la raison que le ministère n'était pas encore dans les cartons, à ce moment-là, l'ITQ a eu des mandats pour lesquels l'ITQ n'était peut-être pas la meilleure organisation pour répondre à ces mandats-Là.

Est arrivée la pandémie en même temps. On s'est retrouvés avec des problèmes de bande passante parce que, là, vous comprendrez que le télétravail a explosé d'une façon exponentielle, je veux dire, on est passés de presque rien à à peu près tout le monde. Donc, il fallait, très, très, très rapidement, régler nos problèmes de bande passante. Puis vous savez que, dans ce temps-là, ça veut dire qu'on met les ressources qu'il faut là-dessus. Il fallait aussi développer les outils collaboratifs, il fallait développer les outils bureautiques. Il fallait permettre à nos employés de continuer la prestation de services de façon transparente pour le citoyen. Mais pour l'organisation, c'est une charge de travail qui a été complètement hallucinante. Et là-dessus, je veux juste peut-être prendre quelques secondes pour saluer la dévotion des employés qui ont réussi cet exploit-là. Parce qu'on parle de ce qui ne fonctionne pas, mais je pense qu'il faut être honnêtes puis parler de ce qui a été un succès, et ça, c'en était un.

Et parallèlement à ça, on est dans un projet, l'identité numérique, qui est absolument nécessaire, je pense que tout le monde en convient, en raison, notamment, des événements de bris de sécurité, puis du fait qu'au XXIᵉ siècle il faut se lancer là-dedans. C'est un défi qui est technologiquement extrêmement important, que l'ITQ avait à relever, pour lequel l'ITQ n'avait pas nécessairement toute l'expertise et le savoir-faire...

Donc, il fallait mettre en place cette organisation-là en même temps. Donc, je vous dirais, là, c'est un petit peu la tempête parfaite qui s'est... qui s'est produite. Quant au fait de M. Rochette, comme vous l'avez dit, c'est un départ à la retraite. C'est son choix. Puis je n'ai pas à... Je ne tiens pas à commenter ça, mais aujourd'hui, avec la création du ministère et je vous dirais que cette situation-là a conduit à la logique du ministère. Et aujourd'hui, bien, ce qu'on est capable de faire avec ce ministère, puis en quoi on va être capable de changer radicalement les choses, c'est que chaque organisation va être responsable d'un créneau pour lequel il y aura une expertise.

Vous avez derrière moi les sous-ministres associés, vous avez Monsieur Rodrigue, le sous-ministre. Et c'est là où on est capable de dire : Bon, bien, la cybersécurité va être confiée à des experts en cybersécurité. Avant ça, il y en avait un petit bout à l'ITQ, un petit bout au SSDPITN. Là, c'est un sous-ministériat adjoint qui s'occupe de la cybersécurité, c'est un sous-ministériat adjoint qui va s'occuper de tout ce qui est transformation numérique, un sous-ministériat adjoint qui va s'occuper des infrastructures, un sous-ministériat adjoint qui va s'occuper des produits SAGIR, du service à la clientèle puis Kathleen qui va discipliner tout ce monde?

M. Ouellet :  En quoi c'est radicaux comme changement...

M. Ouellet : ...M. le ministre, qu'est ce qu'il y a de radical là-dedans? Parce que, tu sais, je vous cite, là, tu sais, vous étiez fâché : Ça n'a pas de bons sens, ça va être radical. Là, ce que j'entends, c'est un ministre qui parle de réorganisation de ses fonctionnaires pour une meilleure efficacité. Mais qu'est ce qu'il y a de radical là-dedans? Est-ce que vous avez trop réagi en disant «ça n'a pas de bon sens», ou...

M. Caire : Non, non, non.

M. Ouellet : Qu'est-ce qu'il y a de radicaux, là... de radical - excusez, là?

M. Caire : Non, ce qui est radical, c'est les attentes de résultat, c'est le respect des échéanciers, des budgets. C'est le fait que maintenant l'ensemble de notre organisation est évalué selon l'atteinte ou non des résultats et non pas selon la quantité de moyens qui vont être déployés pour ne pas atteindre les objectifs.

Donc, je vous dirais qu'il y a maintenant... Je vous disais tantôt : On a une obligation de performance qui est proportionnelle aux attentes que le ministère a suscitées. Et donc à partir de là, je vous dirais, il y a plus de tolérance au fait qu'on va dépasser les échéanciers, au fait qu'on ne respectera pas les budgets, au fait qu'on ne livrera pas ce qu'on est supposé livrer. Donc, là-dessus...

• (10 heures) •

M. Ouellet : ...pour suivre ces obligations-là?

M. Caire : C'est en élaboration. C'est en élaboration. Il n'y en avait pas parce que, comme je vous disais, c'était éclaté un peu partout. Donc, en le mettant au sein du ministère, on a maintenant cette coordination-là, on peut la faire beaucoup plus facilement. Et, oui, il y a un tableau de bord qui est en élaboration.

M. Ouellet : Est-ce que ça serait une information qui pourrait être transmise aux membres de la commission justement pour comprendre quelles sont les obligations qui sont fixées? Parce que, tu sais, vous mettez beaucoup de pression, beaucoup d'exigences chez vos fonctionnaires.

M. Caire : Oui.

M. Ouellet : Je comprends qu'il y a l'obligation de résultat, mais, par souci de transparence, pour que les Québécois aient confiance dans ce... Tu sais, je n'ai aucun discrédit sur les personnes.

M. Caire : Non, non, non.

M. Ouellet : C'est un nouveau ministère, il y a beaucoup d'attentes. 

M. Caire : Mais la réponse à votre question, c'est oui, M. le député.

M. Ouellet : O.K.

M. Caire : Ça va me faire plaisir de vous transmettre cette information-là : les échéanciers, les dates, les produits. Vous comprendrez qu'il y a des révisions qu'on est à compléter compte tenu de ce que je vous ai dit.

M. Ouellet : Oui.

M. Caire : Il y a des échéanciers qu'on va revoir, là, parce qu'il faut être aussi réaliste par rapport à notre capacité de livrer, par rapport aux ressources financières qu'on a, aux ressources humaines qu'on a, aux ressources matérielles. On va revoir l'échéancier, mais une fois que ce sera fait, M. le député, ça va me faire plaisir de vous communiquer l'information.

M. Ouellet : À la... avec la commission.

M. Caire : Bien, je la communiquerais... Je ne la déposerais pas... M. le Président, je ne la déposerais pas à la commission, mais ça me fera plaisir de le communiquer au député.

M. Ouellet : O.K. On va aller dans le détail de deux projets pour lesquels je veux avoir de l'information. On avait un projet d'éliminer 457 centres de traitement informatique. Vous aviez sélectionné cinq technologies que les organisations publiques pouvaient utiliser, mais la plupart ont choisi Amazon. Or, vous avez retiré le droit de conclure cette entente. Je me souviens, M. le ministre, vous nous avez dit aussi que la consolidation de ces centres-là permettrait d'économiser 210 millions par année.

J'ai deux questions : On est rendus où avec les économies? Est-ce que ça va nous coûter vraiment plus cher? Parce que là les gens veulent savoir, est-ce que les économies sont au rendez-vous. Si oui, à quelle hauteur? Sinon, quels sont les coûts supplémentaires? Et le quasi-monopole octroyé à Amazon aurait risqué de créer une dépendance technologique, donc pourquoi reculer? Je ne dis pas que c'est une mauvaise nouvelle, là. Nous, on n'était pas favorables à ça, à ces grands monopoles là puis surtout que c'était des monopoles étrangers. Donc, j'aimerais savoir c'est quoi la suite à donner pour ce qui est justement de la consolidation, bien, de ces centres technologiques là, là.

M. Caire : Oui. Bien, en fait... Puis une correction, puis vous parlez de 450, c'était le chiffre initial, mais comme j'ai déjà eu l'occasion de le dire : Après révision, on était rendus à 570, là. Ce n'était pas le fun comme nouvelle, mais bon.

Ceci étant dit, M. le député, c'est exactement le projet... pas je vous disais, on est en train de faire une révision des échéanciers, des cibles, puis je vous explique pourquoi. Ce que la pandémie a amené comme information, je vous dirais, nouvelle et par rapport justement au fait d'aller en infonuagique public - infonuagique public, bizarrement, c'est quand on fait affaire avec les entreprises privées, là - par rapport à un nuage gouvernemental. Souvenez-vous, notre hypothèse de départ était 20-80. On se disait à peu près 20 % des informations du gouvernement vont être conservées dans le nuage gouvernemental, 80 qu'on pourra envoyer en infonuagique public. Et ça, c'était basé sur la criticité de l'information, jusqu'à quel point... Par rapport à notre loi, par exemple, la PRP, jusqu'à quel point l'information, elle est critique et elle doit être protégée. Un élément qui s'est ajouté dans notre réflexion, qui n'était pas là au départ, puis qui va amener une révision assez importante du projet, c'est jusqu'à quel point l'information, elle est névralgique aux missions régaliennes de l'État. Donc, qu'est ce qui arrive, par exemple, une hypothèse, si un fournisseur d'un pays autre que le Canada décide de mettre une politique politique protectionniste? Le contexte de guerre en Ukraine...


 
 

10 h (version non révisée)

M. Caire : ...de pandémie nous amène ce genre de scénario là. Qu'est-ce qui arrive avec nos données puis jusqu'à quel point l'État est capable de fonctionner et de donner sa prestation de services aux citoyens? Donc, on est à réviser le pourcentage de données qu'on garderait dans le nuage gouvernemental, qui va augmenter de façon, je dirais, quand même conséquente. Ce qui va nous amener à réviser aussi le projet initial. Donc, notre capacité de stockage, donc le nuage gouvernemental, de ce fait, doit lui aussi être plus important. Donc, on est tout en train de réviser cette...

M. Ouellet : ...on est à quoi, 70-30, 60-40?

M. Caire : 70-30, peut-être même effectivement 60- 40, effectivement. Donc, vous comprendrez, là, qu'il faut augmenter peut-être même du simple au double notre capacité de stockage, donc ça.... Mais, en même temps, tu sais, on l'a vu, là, dans une situation de crise, l'État doit continuer à fonctionner. Quelles sont les données dont on a besoin pour que l'État continue à fonctionner de façon transparente pour les citoyens? C'est ça qui va amener la prévision de notre capacité.

M. Ouellet : Oui. Parce qu'au départ vous disiez : Écoute, il y a 20 % de données critiques qui ne devraient pas. Là, vous... le contexte a changé. La dépendance aux technologies étrangères aussi vous a amené à la réflexion. Donc, ce  n'est plus tant les données critiques, mais l'accès aux données ou l'accès qu'on pourrait donner à une tierce partie qui semble vous préoccuper et qui vous préoccupait moins à l'époque.

M. Caire : En fait, c'est surtout l'accès duquel on pourrait être coupé comme État si un fournisseur de services, pour une raison qui relève d'un autre État, décidait de couper ces accès-là. Ce n'est pas tant que, nous, on a peur que nos données se fassent voler, là, on n'est pas... i c'est ça que vous avez compris de ma réponse, M. le député, ce n'est pas... ce n'est pas ça.

M. Ouellet : Parfait.

M. Caire : C'est plus jusqu'à quel point, par exemple, un Amazon ou un Microsoft de ce monde, pour des raisons indépendantes de leur propre volonté, un contexte de conflit, par exemple, se ferait ordonner de couper ses accès avec tout, tout pays autre que les États-Unis. Puis là, nous autres, nos données sont stockées là. Tu sais, on fait quoi, là? Tu sais, nous, on est coupés de nos données. Donc, il faut s'assurer que les données dont l'État a besoin pour assurer ses missions essentielles sont conservées dans le nuage gouvernemental. Donc, ce n'est plus seulement la criticité en termes de préjudice. Alors, quel est le prix? Parce que, là, on l'évalue. Est-ce qu'il y a un préjudice à se faire voler telle et telle donnée? Si le préjudice est important, on garde ça en nuage gouvernemental puis, si le préjudice n'est pas important, mais à ce moment-là, on peut aller en infonuagique publique. Maintenant, ce n'est plus que ça. Il y a aussi est ce que cette donnée là, même si elle n'est pas critique au sens préjudiciable, est ce qu'elle est nécessaire aux opérations de l'État? Si oui, il faut la garder dans le nuage gouvernemental.

M. Ouellet : Bien, c'est une excellente nouvelle. On a eu les discussions ensemble, mais moi, le 80-20, je ne l'accepte pas. Moi, c'était beaucoup plus que le gouvernement soit maître de sa propre technologie. On a eu les arbitrages ensemble. Vous avez fait référence au passé, au manque de connaissances, au manque d'outils. La création du ministère et la création de l'ITQ a amené au gouvernement d'avoir des nouveaux moyens pour adresser ces réalités-là. Donc, je suis content d'apprendre qu'on va changer vers peut du être 70-30, du 60-40. Je vous invite aussi puis j'invite les équipes à donner aussi la sécurité et l'accessibilité de ces données-là au gouvernement le plus possible.

Moi, ma crainte, je vous l'ai partagée puis je la partage encore. C'est sûr qu'il y a des solutions tout cuit dans le bec avec Amazon ou d'autres sources qui semblent être résistantes aux attaques, mais c'est une dépendance qu'on avait discutée, et je suis content de voir... puis je n'ai jamais pensé que vous aviez des œillères, mais là, ça semble être plus ouvert. Donc, je pense que les Québécois et Québécoises vont être contents de voir qu'on avance. Et moi, je plutôt du type qu'il devrait y avoir plus de possession de données à l'intérieur du gouvernement et moins dans l'infonuagique publique, mais au privé. Mais ça, ça sera....

M. Caire : Mais, si je peux me permettre, M. le député.

M. Ouellet : Oui, bien, je... Allez-y.

M. Caire : Oui. Mais la préoccupation de ne pas être dépendant d'un fournisseur de services demeure. Même si on s'en va à 60 %, on ne veut pas que ce soit 60 % chez un seul fournisseur. On veut quand même... puis on veut aussi que nos entreprises québécoises puissent bénéficier de l'entente de service avec le gouvernement.

M. Ouellet : Il ne reste pas beaucoup de temps. J'aimerais peut-être aborder deux derniers sujets. Le premier, l'identité numérique. Je vous en ai fait mention tout à l'heure. Dans les médias ou dans l'espace public, il a été question de la reconnaissance faciale aussi comme outil. Est-ce que votre réflexion a évolué? Je sais quel les gens avaient beaucoup de craintes. On peut le mettre sur notre iPhone, si on le décide, de mettre la reconnaissance faciale. C'est un choix. Ce n'est pas tout le monde qui est obligé. Mais ça a amené beaucoup de questionnements. Il y a des gens qui ne voulaient pas. Donc, l'identité numérique, de la façon dont ça va se déployer pour avoir accès. Moi, je... tu sais, je fais affaire avec les services gouvernementaux comme un citoyen. J'ai fait mon rapport d'impôt comme tout le monde avec Revenu Québec. J'ai eu accès à de l'information, des courriels sécurisés, la double identification. Ça, ça va. Je pense que ça, ça sécuriser les gens. Mais la reconnaissance faciale, il y a encore des grands questionnements...

M. Ouellet : ...vous en êtes où là-dessus, est-ce que ça sera une option, est-ce que ça sera une obligation? Bref, s'il vous plaît, les citoyens de Québec ont beaucoup de questions. Pouvez-vous nous éclairer?

M. Caire : Bien, une obligation, jamais, jamais. Il n'y aura jamais d'obligation. D'ailleurs, le mandat qui est donné au sous-ministre adjoint à la transformation numérique, qui s'occupe maintenant du programme, du Service québécois d'identité numérique, c'est de dire : c'est des options. Alors ce qu'on va livrer dans un premier temps va être novateur par le fait d'identifier le tiers de confiance, à savoir vous voulez vous identifier numériquement, puis moi, je dis : Qui va être capable d'identifier et d'authentifier le fait que vous êtes bien la personne que vous prétendez? C'est... il y a une bonne complexité. Puis ça, c'est la base de l'identité numérique qu'on va livrer bientôt.

Maintenant, à ça va se rajouter des services, la porte-feuille numérique, la reconnaissance faciale. Je pense que... et le mandat qui est donné, c'est de prévoir que cette technologie-là puisse être implantée, déployée et offerte, mais jamais imposée, jamais imposée, de la même façon que l'identité numérique ou la prestation de services numériques ne sera jamais la seule façon d'interagir avec le gouvernement, là. Les gens qui veulent interagir avec le gouvernement... pourront continuer à le faire.

Le Président (M. Simard) : Merci. Alors merci à vous deux. Je cède maintenant la parole à nouveau au député de Jacques-Cartier.

• (10 h 10) •

M. Kelley : Ah! c'est mon tour. Parfait.

Le Président (M. Simard) : C'est votre tour et vous disposez de 21 minutes, cher collègue.

M. Kelley : J'ai pensé que c'était peut-être le tour de mon collègue... Lesage. Bien, merci beaucoup. Monsieur le ministre, on revient sur notre échange sur la cyberdéfense, cybersécurité. Je ne sais pas si vous avez des éléments à ajouter à la dernière question que j'ai posée, mais encore je reviens juste sur l'état de la situation. Et encore, peut-être aussi, quelles actions vous avez prises avec le secteur privé pour discuter des meilleures pratiques pour une cyberattaque de quelqu'un avec les compétences comme un état comme la Russie?

M. Caire : Oui. Bien, comme je... là, ce que je vous expliquais, c'est qu'on est membres du réseau... donc, c'est une espèce de réseau international qui permet de s'échanger de l'information sur... qui des vulnérabilités, par exemple le fameux Log4Shell a été rendu public à travers ce réseau là pour permettre aux organisations de se prémunir contre les vulnérabilités qui ont été identifiées.

On organise aussi, et là je suis quand même assez fier d'annoncer que les 16 et 17 juin prochains, le Québec sera l'hôte du premier colloque en Cybersécurité, identité et utilisation, justement, des marqueurs biométriques, qui va réunir les provinces canadiennes, le gouvernement fédéral et les territoires. Donc, ici à Québec, on va discuter de cybersécurité dans une perspective où la cyberdéfense... le pire ennemi, monsieur le député, de la cyberdéfense, ce sont les silos, c'est le repli sur soi-même. Les attaquants travaillent en collaboration. Bon, on a tous entendu des histoires où on s'échange l'information sur le dark web, des rançongiciels, etc., et je pense que les États, notamment, mais les organisations civiles aussi, que ce soient les milieux académiques, universitaires, la société civile, l'entreprise privée, il faut qu'il y ait ces zones de collaboration là. Plus notre réseau est étendu, plus il y a de l'échange d'informations, plus il y a une capacité à se prémunir contre des attaques.

Je vous donne un exemple qui est connu, l'aluminerie Alouette a été effectivement victime d'une cyberattaque d'une organisation russe. Je n'irais pas jusqu'à dire qu'elle a été soutenue par le gouvernement russe, mais ce n'est pas impossible. Alors, le sachant, à travers un réseau où on s'échange cette information-là, bien, on est capable d'identifier le type d'attaque, le type de vulnérabilité qui a été exploitée, la façon dont l'attaquant s'y est pris pour exploiter la vulnérabilité et comment nous, on peut se prémunir contre ça. Mais évidemment, pour ça, la prémisse de base, c'est d'avoir ce réseau d'information là. Malheureusement, le réflexe, dans ces circonstances-là, il est de taire l'attaque, là, comme si c'était une maladie honteuse que quelqu'un ait réussi à traverser nos systèmes. Donc, c'est toute cette culture-là aussi qu'il faut changer à travers l'action du MCN. Donc, comme la MCN, maintenant, a une mission sur le territoire québécois d'assurer la coordination de la cybersécurité, bien, là, ça va nous permettre de faire ça aussi. Ces actions-là sont en cours avec le sous-ministre adjoint.

M. Kelley : Merci beaucoup. C'est une bonne nouvelle qu'il va y avoir une conférence avec les autres provinces et le gouvernement fédéral. Présentement, j'ai mentionné avant les cinq yeux, le "five eyes", notre fameux regroupement des cinq états qui partagent l'information...

M. Kelley : ...la sécurité. Je sais que ça, c'est le niveau fédéral, mais sur quelque chose comme la cyberdéfense, est-ce que vous avez eu des discussions avec vos partenaires, au niveau fédéral, pour ce type de défense aussi? Est-ce que c'est plus souvent des forces policières qui discutent entre eux? Si le gouvernement fédéral a une certaine information à donner... Je sais, M. le ministre, peut-être, vous ne pouvez pas répondre complètement à mes questions pour des raisons de sécurité, mais c'est vraiment juste une question de bien comprendre et savoir quel type de collaboration est déjà en place entre vous puis vos partenaires fédéraux, et, j'imagine, c'est aussi un travail d'équipe au sein de votre gouvernement.

M. Caire : Oui. Bien, écoutez, oui, comme je l'ai déjà mentionné, effectivement, je ne pourrai pas aller très loin dans les échanges d'informations. Ceci étant dit, M. le député, pour le bénéfice des députés, et des députés seulement, il y a peut-être des briefings techniques qu'on pourrait organiser pour vous donner ces informations-là. Il y a des informations que je peux donner à des parlementaires que je ne donnerai pas dans l'espace public, là, pour des raisons que vous comprenez parfaitement, et ça me fera plaisir de le faire. On l'a fait, dans le passé, sur les CTI. On pourra le faire sur l'identité numérique et les questions de cybersécurité.

Ceci étant dit, ce que j'ai déjà dit, tout à l'heure, au collègue de René-Lévesque, c'est qu'on a une entente formelle avec le gouvernement fédéral, notamment le Centre de la sécurité des télécommunications. On a des échanges avec d'autres organismes fédéraux qui ont le mandat d'assurer la sécurité sur le territoire canadien. Des ententes de collaboration pourraient être à venir. À travers le colloque dont je vous parle, on souhaite, effectivement, ouvrir une discussion pour formaliser les partenariats avec le gouvernement fédéral, mais aussi les autres provinces. Au niveau de l'élaboration d'une identité numérique, on travaille déjà en collaboration avec l'Ontario et la Colombie-Britannique. Donc, ce n'est pas le Québec seul, là, c'est vraiment un travail de collaboration, parce qu'on vise, évidemment, une interopérabilité de l'identité numérique, pour qu'elle soit utilisable partout au Canada, pas simplement au Québec, et avec... même chose pour nos partenaires ontariens, de la Colombie-Britannique et, potentiellement, des autres provinces.

Donc, on est dans cette dynamique-là de... Justement, je disais : Le pire ennemi qu'on a, c'est le repli sur soi-même. Ça, c'est ce qu'on veut éviter à tout prix. Puis, évidemment, les provinces canadiennes, le gouvernement fédéral, les territoires sont un partenaire naturel pour nous, là, avec qui on veut développer au maximum les collaborations potentielles.

M. Kelley : Parfait. Puis on verra la suite de cette conférence, mais j'espère que M. le ministre va vraiment presser le gouvernement fédéral d'être peut-être un petit peu actif. Je le dis dans le sens qu'ils sont bien tranquilles. J'ai déjà cité l'exemple de «White House», le président Joe Biden, qui prend le leadership pour informer la population en général que c'est une menace réelle, et de ne pas sous-estimer les capacités de nos adversaires, quand même, s'ils travaillent en collaboration, eux autres, contre nous. Alors, je sais que le Québec a déjà créé un ministère, vous êtes réactifs, c'est une bonne chose, mais au bout de la ligne, le gouvernement fédéral est responsable pour la défense nationale. Nous avons un rôle très important à jouer, alors ne lâchez pas, M. le ministre. Mais passer ce message-là, parce que ça m'inquiète beaucoup.

M. Caire : C'est une inquiétude que je partage, M. le député, soyez... Et j'adhère à tout ce que vous venez de dire.

M. Kelley : Exactement. Et quand même, si jamais il y a une façon d'avoir plus de financement de la part du gouvernement fédéral, peut-être, ce n'est pas une mauvaise chose pour toutes les provinces. Parce que je pense qu'aussi comme... la capacité de nos centres de services scolaires et des commissions scolaires à quand même défendre leurs expertises et leurs centres informatiques, parce que ça, c'est où on peut peut-être trouver des failles, des places qui sont vulnérables. Et, oui, c'est sur nous de bien préparer ces organisations, mais en même temps, là, nos ressources, comme une province, nos finances sont limitées, dans ce sens aussi. Et maintenant, on est vraiment dans un contexte, comme j'ai dit avant... Ça prend juste une ouverture, dans un niveau comme une province, pour avoir des dommages partout en Amérique du Nord, quand même. Ce n'est pas impossible que ça commence avec une attaque comme ça.

M. Caire : Non, non, non. Bien, j'ai donné un exemple, M. le député, là, d'une façon d'attaquer tout le nord-est des États-Unis, en passant par le Québec, qui est un exemple archiconnu, là, c'est pour ça que je n'ai pas révélé rien à personne. Mais il y en a d'autres. Vous avez raison, il y en a d'autres. Il y a une... Les économies, maintenant, sont intimement liées, avec le reste, évidemment, du Canada, bien sûr, qui est un partenaire économique naturel, mais avec les États-Unis aussi. Et donc il faut...

M. Caire : ...la pire chose qu'on pourrait faire, c'est de penser qu'on est à l'abri parce que le Québec n'intéresse pas les États délinquants. Ce serait une grave erreur, vous avez tout à fait raison.

M. Kelley : Et juste une question, M. le ministre. Ce n'est peut-être pas votre responsabilité, mais dans un scénario où le pire arrive et Hydro-Québec est fermée, là, on n'a pas d'électricité pour une semaine. Cette situation comme ça peut avoir des conséquences extrêmement graves. Je pense que juste des personnes vulnérables dans notre société, si jamais c'est au milieu de l'été puis on a une vague de chaleur, tout ça arrive, c'est une tempête parfaite. Est-ce que c'est peut-être mieux pas de... on ne veut pas crier de peur dans la population, mais, en même temps, quand je pense que la pandémie, la première fois, on a été obligé de fermer presque toutes les entreprises, tout le monde a eu la demande de rester à la maison, on a vu que le papier toilette était acheté en masse par la population, mais c'est juste les gens n'étaient un petit peu pas prêts. Si jamais je dois faire face à une crise comme ça, j'achète quoi exactement à l'épicerie? Je pose la question. Si jamais on a comme deux ou quatre jours où on n'a pas d'électricité, quel type de consignes on doit donner à la population, au minimum, aux bases? C'est peut-être mieux de continuer d'informer la population qu'il y a une réelle situation dans le monde présentement. Il y a toujours une possibilité que quelque chose comme ça peut arriver. Alors, tout le monde doit avoir une petite liste au minimum, je pense juste à l'eau, des aliments, des choses qu'on peut garder et préparer très facilement.

• (10 h 20) •

Alors, c'est juste... je ne sais pas si vous avez eu des discussions avec votre collègue la ministre de la Sécurité publique, mais c'est juste... je pose la question parce que je pense, au début de la pandémie, quand on a fermé la porte, pas tout le monde a vraiment été prêt à rester chez eux pour une semaine. Alors, c'est juste une question pour vous. Qu'est-ce que vous pensez de ça?

M. Caire : Bien, c'est sûr qu'au niveau de la sécurité publique, c'est leur mission de s'assurer d'avoir des plans en cas de catastrophes, sinistres, etc. Donc, au niveau des sociétés d'État, c'est la même chose, là. Comprenons-nous bien. M. le député, on va tout faire pour que ça n'arrive pas. Évidemment, c'est la priorité, c'est la prévention, c'est d'empêcher ces situations-là de se produire.

Ceci étant dit, il y a des scénarios qui existent au cas où, puis je vous dirais même au niveau du gouvernement du Québec, il y a des normes qu'on met en place qui se déploient notamment pour nos centres de traitement d'information, de s'assurer qu'elles ont cette capacité-là à fonctionner en mode autonome, et donc de continuer les opérations et les services essentiels du gouvernement. Ça fait partie des normes qui sont qui sont prescrites pour s'assurer qu'il y a quand même un minimum de services qui pourront continuer sans qu'on revienne au pigeon voyageur, là, comprenons-nous bien, et donc ces hypothèses-là sont mises de l'avant.

Mais ce qu'on fait aussi, ce qu'on a commencé à faire, je vous dirais, là, il y a peut être, quoi, un an, un an et demi, c'est des simulations, là, qu'est ce qui arrive et comment vous allez réagir? Tantôt je vous parlais de ce qu'on faisait, là, pour se préparer, mais c'est des choses maintenant qu'on fait et qu'on veut faire de plus en plus. Alors, vous êtes dans la situation où il se passe ça, ça, ça, vous réagissez comment? O.K., vous réagissez comme ça, donc là, maintenant, il se passe ça. Et aux dires des gens qui ont qui ont fait ces scénarios-là, c'est extrêmement stressant et extrêmement formateur, puis ça, c'est des choses qu'on va faire aussi pour que les principaux acteurs... Je ne pense pas qu'on puisse préparer toute la population à réagir à une situation critique, mais ce qui est important dans ces situations-là, c'est que ceux qui ont le mandat de donner les services, de donner les directives, de coordonner l'action qui va venir aider la population, qu'eux soient prêts, qu'ils sachent comment réagir, qu'ils soient capables de le faire rapidement et qu'ils soient capables de le faire rapidement et de façon coordonnée.

Donc, ça, on travaille aussi là-dessus de notre côté, au niveau du ministère. Je sais que la Sécurité publique a ses plans, ses scénarios pour être capable de réagir à des situations critiques.

M. Kelley : Parfait. Merci beaucoup. Avec les élections qui s'en viennent, oui, il y a des élections, M. le Président.

M. Caire : C'est-u vrai? Au Québec.

M. Kelley : Je veux juste savoir... je sais qu'en mars, on a le logiciel Kapersky qui...

M. Kelley : ...a été trouvé. Je veux juste savoir c'était quoi la suite après ça, les enquêtes que vous avez faites, des choses que vous avez trouvées, peut-être juste un état de la situation sur cet événement. Mais aussi, est-ce que vous êtes confiant présentement qu'Élections Québec, le DGEQ est prêt de s'assurer que nos élections sont sécures puis bien protégées?

M. Caire : Bien, écoutez, pour le Directeur général des élections du Québec, vous comprendrez que ce n'est pas sous ma juridiction. On est tout à fait disponibles, si le DGEQ a besoin de nos services. Le ministère a cette possibilité-là de signer des ententes, même avec des organismes qui ne relèvent pas des organismes sous sa juridiction. Ce n'est pas le cas, là, à ma connaissance, le DGEQ n'a pas signé d'entente avec nous. En fait, oui, donc je viens de dire une niaiserie, ce qui est exceptionnel.

Des voix : Ha! Ha! Ha!

Le Président (M. Simard) : Y a-t-il consentement afin que votre collègue puisse intervenir?

M. Kelley : Oui, oui.

Le Président (M. Simard) : M. le sous-ministre, on vous connaît, vous êtes un habitué, mais néanmoins, auriez-vous l'amabilité, pour les fins de longs travaux, de vous présenter, s'il vous plaît?

M. Rodrigue (Pierre E.) : Oui. Pierre Rodrigue, sous-ministre de la Cybersécurité et du Numérique. En fait, on a un lien avec le Service canadien de renseignements et de sécurité et le Centre canadien de la sécurité et des télécommunications, qui font une veille pour essayer de détecter toute menace susceptible d'avoir un impact sur le processus électoral canadien, incluant le processus électoral qui va avoir lieu au Québec, là, cette année.

De telle sorte que... Et j'ai rencontré personnellement le Directeur général des élections. On s'est entendu que, dès que nous, on avait de l'information qui nous venait du gouvernement fédéral, qu'on est en lien, donc, notre Centre gouvernemental de cyberdéfense est en lien avec le Directeur général des élections pour les soutenir s'il pouvait y avoir soit des menaces, appréhendées ou réelles, là, pour être capables d'agir au bon moment.

Le Président (M. Simard) : D'autres commentaires? M. le député de Jacques-Cartier.

M. Kelley : Non, pour moi, ça va. Je pense que je vais passer à un autre sujet. Je reviens un petit peu, juste sur les commissions scolaires puis les centres de services. M. le ministre, avez-vous un plan puis peut-être un budget dédié pour mettre leurs systèmes peut-être plus à jour?

M. Caire : Oui. Bien, en fait, comme je le disais tout à l'heure, M. le député, dans le dernier budget, il y a un 100 millions sur deux ans qui nous a été octroyé par le ministère des Finances. Ce que nous sommes à faire, avec l'ensemble des organismes qui sont sous la juridiction du MCN, dont les centres de services et les commissions scolaires, c'est de s'assurer du déploiement de 15 mesures minimum au niveau de la sécurité de leurs systèmes d'information. Donc, ça, c'est le plan à court terme.

Après ça, bien, il y a différents projets qui pourront être mis de l'avant, comme je vous disais, sur la consolidation de ces réseaux-là. L'idée étant, avec la mise en place du Centre opérationnel de cyberdéfense, au ministère de l'Éducation et un autre au ministère de l'Enseignement supérieur, de s'assurer que cette organisation-là, qui fait partie du réseau de cyberdéfense du gouvernement du Québec, va elle-même fédérer les entités sous sa juridiction. Et là on a adopté récemment une directive sur la cybersécurité qui va permettre de déployer ça à l'intérieur.

Donc, c'est un réseau plus local qui fait partie d'un réseau plus gouvernemental, là. C'est un petit peu ça qu'on va être en train de mettre en place au niveau des centres de services et des commissions scolaires.

M. Kelley : Parfait. Sur un autre sujet, c'est plus... pour les entreprises privées, présentement, d'être rassurées pour une cyberattaque et les dommages qui peuvent être faits par une attaque. C'est très difficile de trouver un assureur pour ça. Un petit peu, si je comprends bien, c'est lié avec le Code civil et c'est aussi un domaine pas mal nouveau. On a vu, malheureusement, depuis une couple d'années, là, des entreprises, des petits entrepreneurs du Québec qui ont toutes leurs données volées par un pirate qui garde ça pour la cryptomonnaie. Juste, peut-être, vos commentaires sur la...

M. Kelley : ...en général, mais aussi c'est quoi, peut être, la prochaine étape pour travailler avec des entreprises privées puis des assureurs partout dans le monde, pour trouver les façons que ce type de vol peut être protégé puis trouver un système qui marche bien, j'imagine, c'est très complexe parce que, comme je dis, c'est nouveau puis déterminer qu'est-ce qui arrive exactement... facile. J'imagine que mon collègue de Saint-Jérôme a des idées là-dessus, mais bref, je veux juste entendre, vous, sur ce sujet-là.

M. Caire : Pas juste là-dessus. Bien, en fait, M. le député, une chose qui marque le pas, c'est la loi 25. Donc, quand on a travaillé avec votre collègue de Lafontaine, le PL 64, qui est devenu la loi 25, sur la protection des renseignements personnels, cette loi-là fait obligation maintenant, donne des responsabilités aux entreprises publiques et privées quant à la protection des renseignements personnels qui va amener, je vous dirais, une conscience, une conscientisation, devrais je dire, supérieure, quant aux mesures à déployer à l'interne pour, justement, protéger ces renseignements personnels là et donc, de façon plus large, protéger les systèmes d'information de ces entreprises-là. Ça va aussi avoir un impact sur la collecte des renseignements personnels. Puis ça, ce n'est pas anodin. Pourquoi? Parce que, si vous ne collectez que les informations dont vous avez besoin, il se peut que vous en collectiez moins et de ce fait, que vous soyez moins attractif pour les pirates. Parce que, tu sais, le pirate, il ne va pas... il va attaquer une entreprise qui a une plus-value à attaquer.

• (10 h 30) •

Maintenant, avec la venue du ministère, on est aussi en discussion avec le ministère de l'Économie et de l'innovation pour cette année, parce qu'eux, ils ont reçu des budgets pour aider les entreprises à se transformer numériquement de façon globale. Donc, nous, on dit : Bien, il y a peut-être une part de ce budget-là qui pourrait nous aider, puis on travaille avec le sous-ministre adjoint à la sécurité de l'information à la cyberdéfense... cybersécurité, pardon, à élaborer un programme. Quelles sont les quinze mesures que nous, on fait au niveau de nos organismes publics? Est-ce que c'est applicable au niveau des entreprises privées? Quelles sont les mesures, je vous dirais, minimum, qu'il faut qui soient mises dans les entreprises privées pour, un, s'acquitter de ses responsabilités par rapport à la loi 25, et deux, pour augmenter sa capacité de cyberdéfense? Donc évidemment, il faut qu'il y ait de l'accompagnement. Donc, ça, c'est tout ce qu'on va être capables de faire. Donc, qu'est ce qu'on en fait, qui peut nous aider? Donc, il faut s'entendre avec des partenaires parce qu'évidemment le gouvernement ne se mettra pas à se déployer partout dans les entreprises privées pour les aider à monter leur système. Donc, est ce qu'il y a des organismes qui peuvent nous aider à faire ça, aider les entreprises, les accompagner là-dedans? Puis évidemment, des montants d'argent, là, comme je vous dis, on est en discussion avec le MEI pour dire : Bon, bien, pour cette année, avoir un montant d'argent, voir un peu l'évaluation des besoins, puis l'année prochaine, dans des demandes budgétaires du MCN, de dire : Bien, quels sont les budgets dont on a besoin pour accompagner surtout nos petites et nos moyennes entreprises, hein. Comprenons-nous bien, M. le député, là, je pense que des grandes entreprises n'ont pas besoin nous pour cela.

Le Président (M. Simard) : Merci, cher collègue. Merci. Je cède maintenant la parole au député de Jean-Lesage, qui dispose de 16 minutes.

M. Zanetti : Oui. Merci, M. le Président. J'ai une inquiétude par rapport au fait que nos données personnelles, là, soient possédées par... bien, pas possédées, disons, mais entretenues, là, par des entreprises privées. Dans les discussions précédentes, vous disiez : Effectivement, on ne veut pas être dépendants d'une entreprise privée, donc on va s'assurer toujours d'avoir plusieurs fournisseurs. Si j'ai bien compris, la structure serait une minorité des données des Québécoises et Québécois seraient, disons, gardées par le public, une majorité par plusieurs fournisseurs privés. Qu'est ce qui arrive si ces fournisseurs-là, privés, ou fusionnent ou le plus gros achète ses compétiteurs ou encore sont tous achetés par un même propriétaire sans fusionner? Est-ce qu'on ne se rend pas là dans une vulnérabilité tout aussi pire que s'il y avait un seul fournisseur?

M. Caire : Alors, M. le député, là, vous allez devoir faire un aveu public. Vous avez mis des micros dans ma salle de conférence et vous avez écouté notre discussion d'hier.

M. Zanetti : Non.

M. Caire : Parce qu'en fait votre question est excellente, M. le député, parce que c'est exactement la discussion que nous avons eue hier avec les équipes, de se dire : O.K., mais qu'est-ce qui arrive? Parce que si on signe un contrat avec une entreprise, cette entreprise-là fait l'objet d'une acquisition par une autre entreprise. Là, il se passe quoi?

Alors, là-dessus, il y a plusieurs... d'abord, il y a plusieurs réponses que je peux vous donner tout de suite. Déjà, avec la loi 25, il y a un certain nombre de choses qui sont prévues par la loi sur le transfert des renseignements personnels, si renseignements personnels il y a. D'autre part, la politique qu'on met en place au gouvernement du Québec...


 
 

10 h 30 (version non révisée)

M. Caire : ...du Québec, puis ça, là-dessus, je veux être bien clair, M. le député, les données sensibles - donc, on peut penser que les renseignements personnels sont de cette catégorie-là. Tu sais, il n'y a pas que les renseignements... il y a d'autres types de données sensibles, mais les renseignements personnels en font partie - seront gardés dans le nuage québécois du gouvernement du Québec. Donc, il n'est pas question, au moment où on se parle, puis il n'a jamais été question dans tout ce programme-là que des données qui ont un haut niveau de sensibilité soient confiées au nuage public, le nuage public étant formé des entreprises privées. C'est un peu paradoxal, parce que le nuage privé, il est gouvernemental, puis le nuage public, il est formé par les entreprises privées. Mais il n'a jamais été question de les envoyer à un nuage public. Je vous dirais même que la réflexion qu'on fait avec l'équipe présentement, puis compte tenu de la pandémie, compte tenu surtout de la guerre en Ukraine, compte tenu des impacts que ça peut avoir, c'est d'étendre cette obligation-là non seulement aux seules données sensibles, mais aussi aux données qui seront et qui sont nécessaires au gouvernement pour l'accomplissement de ses missions essentielles. Donc, la situation... Et même, inversement, il risque d'y avoir moins de données confiées au nuage public et plus de données du gouvernement gardées dans le nuage privé gouvernemental pour s'assurer que, un, nous gardons les données qui sont sensibles, et deux, nous gardons aussi les données qui sont essentielles à l'accomplissement de nos missions essentielles.

M. Zanetti : Quel genre de données seraient donc confiées au nuage public, donc opéré par des compagnies privées? Parce que j'essaie de voir, au fond, les risques auxquels on s'expose, parce qu'on parle d'acquisitions d'entreprises entre elles, mais il pourrait à la rigueur y avoir un État qui se fait une société d'État, qui rachète des gestionnaires de données publiques puis qui pourrait avoir un avantage géopolitique sur un autre pays puis dire: Aha! Je possède des données qui t'appartiennent. Donc, quel genre de données seraient exposées à ce genre de risques là?

M. Caire : Bien, comme je disais, c'est la discussion qu'on avait, à savoir: Est-ce que, contractuellement, par exemple, si on a une entente avec une entreprise selon certains critères relatifs au profil de cette entreprise-là et que ces critères-là changeaient, est-ce qu'il pourrait y avoir contractuellement une possibilité pour nous de soit annuler le contrat, soit renégocier? Donc, ça, c'est des réflexions qu'on est à faire justement pour s'assurer que, bon, bien, tu sais, nous, on a fait affaire avec telle, ou telle, ou telle entreprise, puis là, bien, pour un contexte d'acquisition qui est tout à fait logique et légal, et je ne conteste pas ça, mais ça change quand même les éléments qui nous ont amenés à prendre la décision. Donc, est-ce que, contractuellement, on peut avoir des clauses qui nous prémunissent contre ça? Ça, c'est la première question.

Et la deuxième question: Bien, quels sont les critères? Bien, je vous dirais: Écoutez, prenez toute donnée, dans le fond, qui ne cause pas... dont la diffusion publique ne cause pas de préjudice ni à un individu ni aux opérations de l'État. Par exemple, le nombre de kilomètres de routes au Québec, je ne pense pas que de rendre ça public, ça vient d'hypothéquer la capacité du MTQ, ou avoir une idée du patrimoine forestier du Québec, ou du patrimoine hydrique, ou où sont les gisements miniers au Québec, là, c'est des informations qui normalement, de toute façon, ont un caractère qui est public et dont la diffusion publique n'apporte pas de préjudice ni à l'individu, ni à l'État, et donc, à partir de là, on peut les rendre... Donc, je vous dirais qu'il y a ça. Il peut y avoir des données peut-être un peu plus sensibles que ça qui seraient quand même confiées, parce que le préjudice est faible ou le risque est faible. Ça... Mais je pense que ça vous avait été présenté, si je ne m'abuse, là, quand on a fait le briefing sur la consolidation des CTI, sur la... comment on mesure la sensibilité d'une donnée. À ça, M. le député, va s'ajouter un nouveau critère, qui est: Est-ce que la donnée, elle est nécessaire à l'accomplissement d'une mission essentielle de l'État?

M. Zanetti : Donc, si on suit votre logique, il n'y a aucune donnée de santé, par exemple, qui pourrait être confiée à des entreprises privées?

M. Caire : Non.

M. Zanetti : O.K.

M. Caire : Puis, si on parle de données par exemple financières du ministère des Finances ou de l'Agence du revenu ou des renseignements sensibles sur vous comme individu, donc que la diffusion publique de ces informations-là serait préjudiciable à votre personne...

M. Caire : ...non.

M. Zanetti : Ni des données biométriques liées à un processus d'identification.

M. Caire : Encore moins. Encore moins. Encore moins.

M. Zanetti : Encore moins. Parce que j'essaie de voir, c'est quoi, l'avantage de faire ça. Si, de toute façon, on va se doter d'un système public gouvernemental de stockage de données, c'est quoi, l'avantage de recourir à du privé? Surtout que, tu sais, j'imagine, mettons, dans dix ans, on décide que, je ne suis pas un expert là-dedans, mais il y a un changement technologique qui s'impose. Puis là, bien, on a dix fournisseurs, incluant le gouvernement du Québec, puis là il faut tout synchroniser ça. Est-ce qu'on n'est pas en train de se magasiner juste plus de troubles? Alors que, si on disait : Tout est au public. Quand il s'agit de faire un changement technologique ou un changement dans la façon dont on organise les choses, bien là, bang! c'est tout d'un coup. Tu sais, c'est un peu comme le système de santé en ce moment. Tous les GMF ont leur petit système informatique. Puis là, bien, on essaye de faire quelque chose de commun puis c'est difficile, puis c'est compliqué, puis ça fait quinze ans qu'on en parle, sinon plus. Est-ce que ça ne serait pas plus simple de juste dire : On en a juste au public. «That's it». Puis ils n'ont aucun risque, aucun problème, aucune complication.

• (10 h 40) •

M. Caire : Bien, en fait, non, parce qu'il y a quand même plusieurs avantages à envoyer une quantité non négligeable d'information du gouvernement vers un nuage public, à savoir, ces entreprises-là, elles sont très innovantes, évidemment, parce que le contexte de concurrence fait en sorte qu'elles sont... elles investissent des sommes très importantes en recherche et développement. Donc, ça, c'est un avantage parce qu'on va bénéficier de cette innovation-là de deux façons, d'une part en étant client, puis d'autre part en étant un partenaire. Il peut y avoir des échanges à ce niveau-là, d'une part.

D'autre part, il n'en demeure pas moins que stocker cette information-là, ça voudrait dire, nous, augmenter notre capacité de stockage comme opérateur unique, alors que là, en ayant recours aux services d'infonuagique publics, bien, on est un client, mais, je veux dire, l'entreprise, elle, est capable de diviser la facture de ses frais de fonctionnement à travers tous ces clients. Donc, on est capables d'avoir un prix qui est plus bas que ce qu'on aurait si nous étions l'opérateur unique.

Et l'autre élément qui est important, c'est les ressources humaines. C'est qu'à un moment donné, si on augmente notre capacité de stockage, bien, on augmente le besoin en ressources matérielles et aussi en ressources humaines. Et, comme vous le savez, puis surtout dans des domaines qui sont des technologies de pointe, bien, ces ressources-là, elles ne sont pas légion. Puis c'est un peu ce que j'expliquais tantôt, c'est qu'il faut qu'on soit capable de partager avec l'écosystème. L'écosystème étant, oui, les autorités publiques, mais la société civile et les entreprises privées. Il faut qu'on soit capables de partager ces ressources-là. Il faut qu'on trouve des façons de partager ces ressources-là, parce que, un, la ressource... il manque des ressources, et, deux, personne n'a intérêt à se lancer dans une escalade des salaires, puis une espèce de guerre des salaires où, de toute façon, le gouvernement ne sortira pas gagnant, parce que, comme je l'expliquais, on n'a pas la capacité de l'entreprise privée à augmenter les salaires puis à changer les conditions de travail. Tu sais, dans notre cas à nous, ça fait l'objet de négociations, puis ça fait l'objet de négociations qui n'impliquent pas que ces employés-là, qui impliquent très souvent plusieurs corps d'emplois du gouvernement du Québec. Donc, on n'est pas dans la même dynamique.

Donc, on a... je pense qu'il faut bien circonscrire nos besoins. Et ce qui est fondamental à l'État doit rester sous le contrôle de l'État. L'État ne doit pas être dépendant dans ses infrastructures critiques, dans sa cyberdéfense et dans le stockage des données essentielles à ses missions, ne doit pas être dépendant, mais pour le reste, je pense qu'on a tout avantage à faire... à travailler avec l'écosystème. Puis je vous rajouterai peut-être un dernier élément, c'est que c'est bon aussi pour l'économie du Québec, parce que ça amène des investissements. Puis on ne parle pas juste, ici, d'entreprises étrangères, même si ces entreprises-là investissent des montants conséquents au Québec, il y a aussi des belles entreprises québécoises qui se développent. Puis ce genre de contrat-là avec le gouvernement, ça les aide dans leur progression, ça les aide dans leur stratégie de développement.

M. Zanetti : Sur la question du prix, là, bon, vous dites essentiellement, il y a trois arguments : faire appel au privé, c'est ouvrir la porte à avoir plus d'innovation parce qu'ils ont un plus grand capital pour investir là-dedans. Ensuite, vous dites : Ils sont capables de fournir un prix plus bas, parce qu'ils ont plus de volume que ce que, nous, on est capables comme gouvernement parce qu'on est plus petits. Puis il y a l'enjeu de la ressource humaine. Les ressources humaines qui vont travailler sur le stockage de ça, essentiellement, ça va être les mêmes personnes, là, c'est-à-dire à peu près, dans l'écosystème, là, tu sais...

M. Zanetti : ...Il n'y aura pas... Il ne va pas apparaître des informaticiens parce qu'on fait affaire avec des compagnies privées. La seule différence, c'est qu'au lieu de travailler pour le gouvernement, ils vont travailler pour des compagnies privées avec des plus gros salaires, puis on va payer ces salaires-là en leur achetant des services essentiellement.

Ça fait que, moi, ce que je me demande, c'est on ne serait pas mieux de payer convenablement ces experts-là en informatique pour qu'ils soient au service du gouvernement du Québec plutôt que de toute façon, les payer au même prix, mais par le biais d'une entreprise qui va se faire du profit avec ça. Puis la raison pour laquelle je pose cette question-là, c'est d'une part, est-ce que ça a été calculé qu'on ferait une économie, ou est-ce que c'est une estimation de même?       

Puis l'autre affaire, c'est que, moi, je suis inquiet de l'autre dimension qui n'est pas juste la dimension financière. Si on se rappelle la commission Charbonneau, là, ils ont dit une des raisons pour laquelle, il y a eu de la corruption, des problèmes, des augmentations dans les prix des projets puis des bordels incroyables, c'est entre autres parce qu'il manquait de l'expertise à l'interne pour évaluer les contrats, la justesse des affaires qu'était en train de faire l'État, tu sais. Parce que l'État a voulu économiser de l'argent en ne payant pas comme il faut ses experts, bien, il a juste recouru aux experts du privé qui, eux, avaient un intérêt contraire à celui de l'État, faire du gros cash, puis on s'est fait... - imaginez ici... insérez le verbe qui vous plaît, là - et ça n'a pas été agréable, puis il faut qu'on s'en souvienne. Puis, moi, je me dis : Là, on est en train de créer collectivement un nouveau ministère, il ne faudrait pas qu'on fasse les mêmes erreurs. Ne faudrait- il pas qu'on investisse pour avoir nos experts payés à des salaires concurrentiels qui travailleraient vraiment pour nous?

M. Caire : Bien, en fait, la réponse à votre question, c'est : Oui, il faut qu'on paye pour avoir nos experts, pour avoir cette expertise-là à l'interne, et on le fait. Je vous rappelle respectueusement, M. le député, qu'on parle, depuis tout à l'heure, de construire et d'opérer et d'entretenir et de faire évoluer un nuage du gouvernement du Québec. Donc, c'est... Et non seulement du gouvernement du Québec, mais pour stocker les données qui ont le plus haut niveau de sensibilité, donc qui vont nécessiter les mesures de sécurité les plus élaborées et donc qui vont nécessiter les expertises de pointe pour être capables de s'assurer que ces systèmes-là sont bien protégés. Et donc non seulement, oui, nous allons avoir ces experts-là, mais nous allons avoir des experts de haut niveau pour être capables de remplir cette mission-là, qui est fondamentale, parce qu'il y aura une attractivité pour ces données-là de la part d'organisations délinquantes, de gouvernements délinquants, là. On va se dire les vraies affaires. Alors, c'est sûr que... Et ça il n'est pas question de confier ça à l'entreprise privée, là. C'est de l'expertise du gouvernement du Québec pour le gouvernement du Québec, par le gouvernement du Québec. Donc, la réponse à votre question, c'est oui.

Maintenant, vous dites : On va payer les salaires... De toute façon, on va payer les salaires des individus qui vont stocker. C'est-à-dire qu'on va payer une partie du salaire, pas la totalité. Parce que justement, là, qu'on parle de facture partagée parce qu'on est un client parmi tant d'autres, on va payer une partie des infrastructures qui vont être utilisées, on va payer une partie de l'innovation qui va être créée. Mais justement on économise parce qu'on ne paye pas l'entièreté de la facture. On paye une fraction de la facture, et c'est là, oui, nécessairement il y a des économies.

Et dernière réponse à votre question : Oui, ça a été calculé. Ce calcul-là, il est en cours de révision parce que, comme je l'ai expliqué tout à l'heure, le volume de données que nous allons conserver dans le nuage québécois va augmenter, donc nécessairement les frais pour déployer le nuage gouvernemental vont augmenter. Donc, nécessairement, les économies générées par cette opération-là vont diminuer, mais on va rester quand même dans un range d'économies intéressantes pour le gouvernement du Québec.

M. Zanetti : En terminant, une dernière question...

Le Président (M. Simard) : Très rapidement.

M. Zanetti : Je perçois une espèce d'incohérence dans un argument que vous amenez pour dire : On donne des contrats au privé. C'est-à-dire que c'est une question de ressources humaines, on n'a pas intérêt à se lancer dans une surenchère de prix. Mais là, en même temps, vous dites : On le fait...

Le Président (M. Simard) : Alors, nous n'aurons pas le temps d'entendre cette réponse à cette bonne question, néanmoins. Désolé, cher collègue de vous couper ainsi la parole.

M. Caire : De toute façon, ça ne se peut pas que je sois incohérent, voyons donc.

Le Président (M. Simard) : M. le député de Jacques-Cartier, à vous la parole. Vous avez 21 minutes.

M. Kelley : Merci beaucoup, M. le Président. M. le ministre, je vais poser plusieurs questions sur les dépenses qui sont disponibles dans le cartable, alors faire la vraie révision des crédits.

On a eu des gros débats sur la qualité de l'air dans nos écoles, des gros débats autour d'acheter des purificateurs de l'air. Puis je vois dans...

M. Kelley : ...que votre ministère a acheté une fois sur... je suis dans le secteur ici, G-6. Alors, sur la ligne 197, une accusation d'un purificateur d'air HEPA pour 1 400 $ environ. Puis si on va vers les lignes 494 et 495, nous avons plusieurs acheteurs pour le purificateur de HEPA Air, une pour 3 000 $ puis une autre pour Air BULLDOG. Je veux juste savoir, ces purificateurs d'air étaient achetés pour qui? Pourquoi?

M. Caire : Bonne question. Bien, généralement, c'est parce que...

Une voix : ...

M. Caire : Oui, c'est ça que j'allais dire. Généralement, ce genre d'équipement là, on va doter nos salles de serveurs de ce type d'équipement là. Puis on me souffle à l'oreille que j'étais dans la bonne direction. En fait, je l'ai même eu en stéréo, je vous dirais, là. C'était le fun. Mais, bref, parce qu'il faut comprendre qu'évidemment, une salle de serveurs, c'est une pièce qui est totalement fermée. Alors, évidemment, il n'y a pas de fenêtre puis ce ne serait pas une bonne idée d'en avoir, là, et donc... Et comme il y a quand même des gens qui sont appelés à travailler dans ces endroits là, et comme vous le savez, bon, bien, veut veut pas, tu sais, salle des serveurs, il faut quand même régénérer l'air, il faut s'assurer d'avoir un air de qualité. Donc, voilà.

17  951 M. Kelley : Alors, on est 100 % sûrs que ces purificateurs d'air sont utilisés pour mieux circuler l'air pour protéger nos serveurs... n'étaient pas mis dans les bureaux des employés de l'État?

• (10 h 50) •

M. Caire : Si je peux me permettre, M. le député...

17  951 M. Kelley : Je vous pose la question.

M. Caire : Mais c'est parce que ce n'est pas pour assurer une qualité de l'air au serveur, le serveur... c'est ceux qui travaillent dans ces centres de serveurs là. C'est pour les individus qui y travaillent.

17  951 M. Kelley : O.K., mais ce n'est pas nécessairement dans les bureaux ici, à côté, dans le bunker, et tout ça.

M. Caire : Non, non, pas dans le... surtout pas dans le bunker.

17  951 M. Kelley : O.K., mais on peut... la qualité du bunker aussi.

M. Caire : Surtout maintenant que je suis au Conseil du trésor, M. le député...

17  951 M. Kelley : J'ai travaillé là deux années, alors... O.K., parfait, parfait, merci beaucoup.

17  951 M. Kelley : Une autre chose qui revient souvent dans le cahier des différentes dépenses de votre ministère sur les acquisitions des licences pour Adobe, Acrobat ou quand même pour Zoom, Teams, je veux juste comprendre pourquoi c'est comme acheté plusieurs fois pour environ le même montant. C'est toujours un truc comme 17 000 $ à 23 000 $ environ, dans ce «range» là. Alors, pourquoi il y a comme... plusieurs fois on a acheté ça? Est-ce que c'est tout pour votre ministère ou est ce que c'est pour aider les autres? Je veux juste bien comprendre pourquoi on a plusieurs ajouts avec plusieurs... comme différentes entreprises et pourquoi ça marche comme ça.

M. Caire : Bien, en fait, non. Il faut comprendre que, quand on a créé le ministère, on a intégré l'ITQ. L'ITQ a des... ce qu'on appelle des clients en plan, donc, qui donne des services à différents ministères et organismes. Et donc il fallait acheter ces licences-là, notamment pour les outils collaboratifs. Donc, le télétravail nécessitait l'utilisation d'un outil collaboratif. Celui qui avait été choisi à l'époque était Teams. Zoom, à ce moment-là, ça a été corrigé depuis, là, je tiens à le préciser, mais Zoom, à ce moment-là présentait des failles de sécurité à différents... Donc, on a essayé de limiter l'utilisation. Maintenant, aujourd'hui, ça a été... ces problèmes ont été réglés. Donc, on va essayer d'avoir cette diversité-là. Puis comme on était à Windows 365, donc Teams était plus facile aussi à déployer.

Il faut comprendre, là, M. le député, ce que je disais tout à l'heure, c'est qu'on passait d'une non-culture du télétravail à tout le monde en télétravail. Donc, il y avait quand même une urgence à mettre en place les outils pour s'assurer que l'État continuait à fonctionner. Donc, essentiellement, oui, le ministère, évidemment, a des licences pour l'utilisation de ces outils-là pour le ministère, mais on a aussi, avec ITQ, des clients qui sont un plan chez qui on a déployé ces outils-là.

17  951 M. Kelley : Parfait. M. le ministre, sur la ligne, dans le même tableau, 32 à 34, les ateliers de l'ITQ, on parle d'un achat de...

M. Kelley : ...ça part de montage pour les motocyclettes BMW de la SQ, et je veux juste comprendre c'est quoi exactement?

M. Caire : C'est ça, c'est pour le déploiement du RENIR sur les motos de la SQ, là, comme, il faut installer le système de télécommunications. Donc, ce que je comprends, c'est que ces supports-là visaient à pouvoir installer l'appareil de communication sur les motos de la Sûreté du Québec.

M. Kelley : Merci. Si on regarde maintenant les lignes 51 et 52, on a Broadnet Telecom Inc. pour la réparation des déshydrateurs automatiques, on a une dépense de 24 000 $, puis une, après, pour 4 800 $. Alors, on est au-dessus de la limite de 25 000 $, où on doit aller en appel d'offres. Est-ce qu'il y a une raison pourquoi on a deux dépenses différentes? J'imagine, c'est parce qu'il y a eu deux systèmes qui ont été obligés d'être réparés? Je veux juste bien comprendre pourquoi on a divisé cette facture-là à la place d'aller dans l'appel d'offres... Excusez-moi, il y a trois... 51 à 53, 24 000 $, 4 000 $ et 16 000 $.

M. Caire : Je vais consulter mon cerveau puis je vous réponds à ça, monsieur...

M. Kelley : Ce n'est pas... Prenez votre temps, M. le ministre.

M. Caire : Non, non, mais c'est... Pendant qu'on cherche la réponse, M. le député, si vous avez d'autres questions.

M. Kelley : O.K., on peut continuer sur les autres, parfait.

M. Caire : Ce qui serait l'hypothèse, c'est sur le Programme de consolidation des CTI, c'est ça que je comprends, pour lesquels ces équipements-là étaient nécessaires. Mais là je peux aller chercher plus d'informations, que je vous transmettrai.

M. Kelley : Parfait. On va aller maintenant sur la ligne 249. Il y a une dépense avec IHS Global Inc., pour un achat de livres techniques, à 4 000 $. Est-ce que c'est normal de dépenser 4 000 $ pour un livre technique? Est-ce que c'était pour plusieurs livres? C'était pour quel type de service? C'est juste un livre à 4 000 $?

M. Caire : Non, non, c'est une quantité x de livres, mais il faut comprendre...

M. Kelley : O.K. Et je sais, pour les technologies, des fois, d'acheter un livre, ça peut être coûteux, mais c'est juste, à 4 000 $...

M. Caire : Remarquez que ce serait mieux s'il était numérique, là, mais, bon, je dis ça, je ne dis rien.

M. Kelley : Il y a aussi une couple de dépenses, des travaux de peinture. Partout, il y a des différents exemples. Je veux juste comprendre : Est-ce que c'est l'habitude d'aller à l'externe des services de l'État, du gouvernement pour les travaux de peinture au sein des bureaux, des cabinets, puis pour les fonctionnaires? Pourquoi c'est comme... À quel moment est-ce qu'on décide que c'est nécessaire d'aller pour une ressource à l'externe, que... des services que nous avons, en attribution?

M. Caire : Là, vous parlez pour des travaux d'entretien des bâtiments?

M. Kelley : Exactement. Ça dit ici...

M. Caire : Bien, c'est la SQI qui gère nos... En fait, c'est la SQI, M. le député qui gère les locaux du gouvernement, là. Comme, dans l'installation du ministère, nous, on a déménagé au carré D'Youville, au 900, carré D'Youville, puis je vous dirais que c'est... toute l'installation, c'est la SQI qui gère ça, puis qui prend les décisions, là.

M. Kelley : Il y a deux achats... Je veux juste bien comprendre, parce qu'encore... Acquisition... excusez-moi, sur la ligne 497 et 488, avec... STANEX. C'est l'acquisition de matériel, des frais de réparation d'une UPS... J'espère qu'on ne parle pas d'un véhicule de UPS, mais c'est des frais qui sont de 10 000 $, puis après, une réparation pour une... Alors, l'acronyme, c'est quoi encore? Je veux juste bien comprendre les dépenses de votre ministère pour ce travail qui a été fait. C'est quoi exactement?

M. Caire : UPS, ce n'est pas le courrier, c'est un bloc d'alimentation électrique de secours. Donc, c'est des unités... Bien, tout à l'heure... Ça revient un petit peu à la question que vous parliez... donc, que vous abordiez tout à l'heure. Ça permet justement une alimentation en électricité en cas de panne de panne électrique, là, ça assure l'autonomie des systèmes.

M. Kelley : Merci. Sur les lignes 499 et 490, on a des travaux qui ont été faits sur la Station de Mont Sainte-Anne, puis on a été obligés de payer 2 500 $ pour un droit de passage pour aller sur le site de Mont-Sainte-Anne. Puis après ça...

M. Kelley : ...électricité, je comprends, ça, c'est, probablement, pour des travaux qui étaient faits, mais quand même, à 7 000 $, c'est juste de comprendre pourquoi on a été obligé de demander le droit de passage et payer pour quelque chose que, j'imagine, ça appartient... le gouvernement du Québec.

M. Caire : En fait, non. C'est parce que c'est des tours de télécom qui sont pour le système RENIR, qui sont situés à un endroit X. Donc, où la tour, oui, mais pour s'y rendre, souvent, c'est des terres privées, et donc, là, nous on l'obligation de payer pour l'entretien du chemin, parce que le propriétaire du terrain a des obligations par rapport aux droits de passage, d'entretien de chemins, de déneigement, etc. Mais nous, évidemment, il faut le compenser financièrement. C'est pour nous donner accès à nos tours de télécom du système RENIR.

M. Kelley : O.K. Merci beaucoup. Sur la ligne 524 et 525, Uline Canada Corporation, on a deux achats pour les ameublements du bureau, un pour 7 500 $, un autre pour presque le même montant, 7 500 $. Vous avez acheté quoi exactement avec ce 14 000 $ pour les bureaux de votre ministère?

M. Caire : Je vous reviens.

• (11 heures) •

M. Kelley : Merci. Une autre question, M. le ministre, je suis dans la même direction. Il y a plusieurs appels d'offres... Excusez-moi, il y a plusieurs dépenses de 14 000 $, avec Vidéotron, pour la location d'un service de fibre noire. Pourquoi il y a environ... deux, trois, quatre, cinq, il y a cinq montants qui ont été versés à Vidéotron? Si on met tout ça ensemble, c'est sûr que c'est plus que 25 000, puis on est obligés d'aller vers un appel d'offres. Alors, je veux juste comprendre pourquoi il y a plusieurs dépenses au même niveau pour les services de Vidéotron.

M. Caire : En fait, ce qu'on me dit, c'est que c'est pour des clients qui sont différents. C'est des liens différents, donc oui, c'est un même contrat, mais ce n'est pas nous avec Vidéotron, c'est nous qui servons différents clients qui utilisent ce service-là.

M. Kelley : Et quel type de clients est-ce qu'on parle? Est-ce que c'est comme...

M. Caire : C'est des clients... C'est des organismes publics qui sont en plan avec nous, là. Je peux vous les donner, là. Vous avez, par exemple, MTESS qui est là, vous avez... C'est ça, le MTESS, MAMH, c'est des clients qui sont en plan chez nous, qui ont besoin de fibre noire. Donc, c'est le même service, mais réparti pour et par différents clients qui sont en plan chez nous.

M. Kelley : Ce n'est pas une critique envers Vidéotron non plus. Je sais que... L'accès et les services, dans différents coins du Québec, sont différents par l'offre. Je reviens sur la ligne... Et, si c'est possible, M. le ministre, juste avoir la liste des différents clients qu'on se parle déposée. Si c'est possible, ça va être bien apprécié.

M. Caire : Ça sera fait, M. le député.

M. Kelley : Merci, M. le ministre. Sur la ligne 284, vous avez fait une formation de sécurité de l'information et de la cybersécurité avec KPMG. Est-ce que c'était une formation qui était faite pour un employé en particulier ou est-ce que c'était une conférence qui était donnée par KPMG pour votre cabinet?

M. Caire : La ligne 280?

M. Kelley : Excusez-moi, 284.

M. Caire : 284. On va vous trouver ça. Ça serait une formation d'un employé chez nous, mais je vais vous confirmer cette information.

M. Kelley : Parfait. Merci beaucoup.

M. Caire : Parce que c'est ça, KPMG fait partie des formateurs auxquels on a recours.

M. Kelley : Excellent. Puis, dans le même sens, je sais qu'il y a un contrat pour un Richard, Audet, conseil en gestion, pour accompagner votre ministère dans la... stratégique pour le réseau gouvernemental de cyberdéfense pour 24 000 $. Est-ce que c'est quelqu'un qui travaille toujours pour vous autres ou qui était vraiment là pour mettre en place un petit peu les politiques et tout ça? C'est un expert, je comprends, puis ce n'est pas grave.

M. Caire : C'est une comprends un ancien haut fonctionnaire, là, qui vient nous aider à mettre en place la nouvelle structure de gouvernance.

M. Kelley : Parfait. J'ai vu que... Et ça, c'est plus aussi... Ce n'est pas nécessairement la dépense, M. le ministre, mais je suis curieux, sur la ligne 326, Naviclub limitée, une acquisition des antennes marines pour...


 
 

11 h (version non révisée)

M. Kelley : ...11 540 piastres, c'est quoi exactement? Et j'imagine, c'est pour... ça doit connecter certaines villes.

M. Caire : C'est la Sûreté du Québec. Comme vous le savez, ils vont aussi patrouiller sur les cours d'eau.

M. Kelley : Ah, O.K. Alors, c'est pour leur système d'informatique de bien fonctionner. Parfait. Et pourquoi des dépenses de la SQ se sont trouvées dans vos crédits et pas dans sécurité publique?

M. Caire : Parce qu'ils sont... parce que c'est nous qui avons l'obligation de déployer le réseau. Puis la Sûreté du Québec est un client, mais de notre réseau.

M. Kelley : O.K. Merci. Merci pour ça. Oh, j'ai eu un autre que j'ai trouvé intéressant. Donnez-moi... 154, Equinix Canada Limited, des frais énergétiques pour 12 000 piastres. Pourquoi on a payé eux autres pour les frais énergétiques?

M. Caire : Ça, c'est une excellente question.

M. Kelley : Pas pire, hein.

M. Caire : C'est le... on me dit que c'est notre centre de traitement de l'information à Montréal.

M. Kelley : O.K. Alors, c'est pour payer une facture d'Hydro-Québec?

(Consultation)

M. Caire : C'est lui qui est notre fournisseur à Montréal.

M. Kelley : Alors, le fournisseur a chargé le gouvernement du Québec pour sa facture d'Hydro-Québec? Parce que c'est juste marqué «frais énergétiques.»

M. Caire : Oui, c'est ça. Ils nous refilent la facture d'électricité.

M. Kelley : O.K. Il y a combien de temps qui reste?

Le Président (M. Simard) : Presque quatre minutes.

M. Kelley : Quatre minutes.

Le Président (M. Simard) : Un peu moins.

M. Kelley : Oh, sur la ligne 262, M. le ministre, ITI Inc., acquisition de 185 disques rigides SSD pour 24 000 $. Je veux juste comprendre. C'est quoi un disque rigide SSD?

M. Caire : Bien, c'est une unité de stockage, puis avec une capacité de traitement, disons, je vais dire ça, particulière. Une unité de stockage, là, c'est ce qu'on appelle en bon... oui, c'est ça, un disque dur, excusez, je... ce qu'on appelle en bon français : un disque dur.

M. Kelley : C'est comme...

M. Caire : Mais SSD, c'est ce qui est.

M. Kelley : Oui, parce que moi je ne suis pas un expert en informatique, alors c'est vraiment juste une question sur c'est quoi exactement.

M. Caire : Mais c'est au niveau du stockage, au niveau de la lecture, de la capacité à retrouver l'information, la rapidité d'interaction entre la carte mère, bien, le... puis votre lecteur rigide, là. C'est un traitement qui est plus rapide, donc qui est plus performant.

M. Kelley : Puis c'est au-dessus de 25 000 $, puis je ne suis pas contre ça, mais est-ce qu'on achète comme... on achète un gros montant pour une année, puis on garde ça au cas où qu'on doit mettre une autre place ou ça doit être remplacé chaque année? 

M. Caire : Non, on les utilise. Oui, oui, on les utilise. C'est ça, on en a acheté 185, là. 25 000 $, on en a 185.

M. Kelley : Puis tout a été utilisé?

M. Caire : Puis oui, on les utilise.

M. Kelley : Le chiffre est juste un petit peu par hasard. Ce n'est pas grave. Sur la ligne 306, magasin Latulippe, acquisition des sacs de transport pour 1 600 $. J'imagine, ça, c'est pour les paquets des piles de câbles que vous avez achetés dans la dernière année. Ce n'est pas un critique. Vous êtes le ministère de l'Informatique, mais je veux juste comprendre. J'imagine, c'est les sacs de transport pour l'équipement lourd utilisé par les fonctionnaires de l'État?

M. Caire : Oui.

M. Kelley : Parfait. Je pense que M. le ministre, toutes des dépenses que j'ai soulignées. Je veux juste vérifier. Non, c'est tout. C'est tout pour moi. Je ne sais pas combien de temps qu'il me reste.

Le Président (M. Simard) : Il vous reste 1 min 20 s

M. Kelley : Une minute. Et je ne sais pas, M. le ministre, s'il y a des autres... J'ai posé un paquet de questions et vous avez fait chercher les réponses. Si vous êtes capable de déposer ça pour nous quand c'est disponible, ça va être apprécié pour...

M. Caire : Broadnet Telecom, c'est les équipements de réparation du RENIR.

M. Kelley : O.K. Parfait. Il n'y a pas beaucoup de temps qui reste. Je veux remercier votre équipe pour la... des questions.

M. Caire : Moi aussi.

M. Kelley : De préparer tous ces éléments-là. Je pense, ça, c'est des fois un petit peu perdu dans nos révisions des crédits. On dépense l'argent des contribuables du Québec, alors c'est toujours une bonne idée juste de poser des questions sur pourquoi on a acheté ça? Ça fait quoi exactement? Parce que...

M. Kelley : ...puis moi, comme je dis, je ne suis pas un expert, mais j'ai juste... Merci, M. le Ministre, pour vos réponses puis, quand même, de demander à vos fonctionnaires pour des réponses, c'est bien apprécié. Merci beaucoup.

M. Caire : Merci, M. le député.

Le Président (M. Simard) : Merci à vous, chers collègues. Je crois comprendre qu'il y aurait consentement pour que le temps qu'il vous restait est réputé écoulé.

Des voix : Consentement.

Le Président (M. Simard) : Consentement. M. le député de Maskinongé.

M. Caire : Moi, je n'ai pas de consentement à donner.

Des voix : Ha! Ha! Ha!

• (11 h 10) •

Le Président (M. Simard) : En effet, M. le ministre.

M. Allaire : Merci, M. le Président. Chers collègues. M. le ministre, salutations également à vous, mais à toute votre équipe, autant du cabinet que du ministère. Je ne serai pas aussi précis et ciblé que le député de Jacques-Cartier, que je salue d'ailleurs, il a posé, je pense, des bonnes questions... Mais une belle transparence, également, de vous et votre équipe, que je salue également.

M. le ministre, je vous trouve chanceux. Je vous trouve chanceux de vivre la création d'un nouveau ministère. Ça doit être très enivrant, ça doit être très stimulant. Vous partez, en quelque sorte, avec une page blanche. Ça fait que je trouve ça vraiment stimulant pour vous. Je me projette un peu, là, mais je trouve ça le fun.

Il faut se rappeler, quand même, que la création du ministère, c'est le premier au Québec, le premier au Canada, le premier en Amérique du Nord, puis je pense que, si on pousse la recherche un peu plus loin, on va rapidement se rendre compte, à quelques différences près, qu'on est vraiment les premiers au monde. Ça fait que je trouve ça quand même assez extraordinaire.

Et je pense qu'on démontre également, par la mise en place du ministère, qu'on place l'État au cœur de la cybersécurité, puis je pense que c'est très important. Puis, en même temps, ça nous force à développer des nouveaux standards, à développer des nouvelles pratiques. En fait, on s'automet beaucoup de pression. Vous avez beaucoup de pression, M. le ministre. On ne peut pas bien, bien se tromper, c'est ça la réalité. C'est tellement, maintenant, dans notre quotidien, je regarde ici, alentour de la table de cette commission, nos téléphones, tablettes, portables, tout ça communique. Notre information est dans les nuages, naturellement. Ça fait que, tu sais, ça nous inquiète quand même tout le temps un peu, puis je pense que c'est normal, surtout quand on place notre information, là, dans les mains, dans les mains du gouvernement, dans les mains de l'État.

M. le ministre, l'arrivée de ce ministère-là s'inscrit comment dans l'écosystème? C'est perçu comment, puis vous, vous voyez ça comment?

M. Caire : Bien, je vous dirais que la réception est excellente. En fait, ça suscite beaucoup d'intérêt. Et ça suscite beaucoup d'intérêt au Québec, je le vois par les demandes que j'ai, moi, d'aller présenter le ministère à notre écosystème québécois, mais ça suscite aussi beaucoup d'intérêt au Canada et, curieusement, même ailleurs dans le monde. Récemment, M. Waterhouse était invité à aller parler du ministère de la Cybersécurité à l'ambassade américaine à Ottawa, dans un événement qui a été organisé en collaboration avec le gouvernement fédéral. C'est au début du mois de juin que t'en vas à Washington?

Une voix : Oui, exactement.

M. Caire : O.K. Au début du mois de juin, M. Waterhouse... organise un événement, M. Waterhouse va aller nous représenter à Washington, parler évidemment de cybersécurité. Et même en France, là, j'ai vu que, dans les élections présidentielles, là, ce qu'on avait fait avait été rapporté, puis il y a des questions qui avaient été posées aux candidats, à savoir est-ce qu'il serait temps pour le gouvernement français d'imiter ce qui se fait au Québec? Donc, ça suscite de l'intérêt.

Ceci étant dit, vous avez raison, ça suscite aussi des attentes qui sont proportionnelles à l'intérêt. C'est la raison pour laquelle, évidemment, là, on est dans cette organisation-là qui est névralgique. Comment ça s'inscrit? Bien, en fait, c'est assez simple, je pense. Ces questions-là sont devenues, oui, névralgiques. Oui, elles préoccupent les citoyens. On le voit même chez les Québécois, ils sont... surtout l'aspect cybersécurité. Mais l'aspect cybersécurité est devenu nécessaire à cause de l'aspect transformation numérique.

Et les expertises qui sont nécessaires, maintenant, pour travailler dans ces domaines-là, si je compare à quand moi, je travaillais en informatique, là... moi, j'étais un bon développeur de systèmes de gestion de bases de données, puis ça allait très bien, puis je peux vous dire une affaire, M. le député, là, quand on développait un système, là, on ne se posait pas la question : On est-u en train de créer des vulnérabilités, puis on est-u en train de créer une faille quelque part? Puis on faisait le système, puis let's go, ça gère ce que ça gère, ça va chercher l'information que ça va chercher, puis la vie est belle.

Aujourd'hui, on ne peut plus penser comme ça. Aujourd'hui, il faut vraiment... Les algorithmes qui sont utilisés, les technologies qui sont utilisées, on est à un autre niveau. Ces expertises-là sont rares, elles sont précieuses. Pis on ne peut plus avoir le même réflexe de dire : Bien, on va tout disperser ça aux quatre coins de notre organisation, tu sais. Le gouvernement du Québec, ce n'est quand même pas petit, comme organisation, là, ça fait qu'on ne peut pas garrocher ça...

M. Caire : ...aux quatre coins de nos organisations puis penser que tout le monde va en bénéficier, puis ça ne marche plus comme ça. Donc, l'idée, c'est d'avoir ce ministère-là qui devient un vaisseau amiral pour la transformation numérique, pour la cybersécurité. L'idée, c'est de travaille, puis ça, c'est une collègue à l'époque qui me disait ça : Il faut qu'on pense collaboration, il faut qu'on pense partage, il faut qu'on pense s'inscrire dans l'écosystème, c'est extrêmement important.  Le gouvernement du Québec ne peut plus travailler en silo et il ou elle avait raison dans ses prétentions. Je vais garder son identité secrète. Il faut, il faut penser comme ça, mais pour ça, ça nous prend un ministère qui a ce mandat-là. Moi, je l'ai dit, je le répète, le ministère de l'Éducation, là, son mandat, ce n'est pas de faire de l'informatique, c'est de s'assurer que nos jeunes, ils ont accès à de la formation, que ce soit l'éducation, l'enseignement supérieur, le mandat, c'est de former nos jeunes, c'est de préparer leur avenir, c'est qu'ils développent leur potentiel, ce n'est pas de faire de l'informatique. On parle de la santé, on rit bien, parce que la santé, ils utilisent des fax, mais le ministère de la Santé, son mandat, c'est quoi? C'est de soigner du monde, c'est travailler en prévention, c'est de s'occuper de la santé des Québécois, ce n'est pas de penser : L'intelligence artificielle puis l'informatique quantique puis l'Internet des objets, puis comment je vais faire ça, puis la... ce n'est pas son mandat, ce n'est pas sa raison d'exister.

Alors, le ministère de la Cybersécurité et du Numérique, c'est sa raison d'exister, de s'assurer d'aller chercher ces expertises-là, d'avoir ces expertises-là, d'avoir cette vision-là du gouvernement du Québec dans 10, 20, 50 ans, alors que sous-ministre et moi serons probablement dans une maison des aînés dans 50 ans. Alors, c'est d'avoir cette vision-là, c'est d'avoir cette réflexion-là. C'est de s'assurer que cette expertise-là, on parle d'identité numérique, là, mais les algorithmes de chiffrement puis les technologies avec lesquelles on travaille pour être capable de déployer, oubliez ça, moi, je ne comprends rien là-dedans. J'ai travaillé en informatique une bonne partie de ma vie, je ne comprends rien là-dedans. Oubliez ça, parce que le niveau d'expertise qui est nécessaire, le niveau de connaissances qui est nécessaire, on est ailleurs puis on ne peut pas dire : Bien, on va en avoir un petit bout avec le réseau de l'éducation, un petit bout en santé, un petit bout au MTQ, un petit bout... non, oubliez ça, là, impossible.

Puis cette vision-là aussi, une des difficultés qu'on a, c'est de gérer la désuétude. On a encore des organisations qui travaillent sur des ordinateurs centraux. M. le député, quand moi, j'ai fait mon cours en informatique il y a une semaine ou deux, on n'enseignait plus ça. On n'enseignait plus ça, puis nous, au gouvernement du Québec, on se sert encore de ça. Pourquoi? Parce que ça n'a jamais été le mandat de personne de jouer deux coups d'avance. Ça, c'est notre mandat. C'est à ce phénomène-là qu'on va s'attaquer pour faire en sorte de, un, le corriger, rattraper notre retard puis s'assurer que nos organisations ne se laissent pas aller dans la désuétude. Parce qu'un gestionnaire, là... Ça marche? Touche pas à ça. Ça va-tu s'inscrire dans telle logique de... Non, non. Ça marche puis ce n'est pas ça, mon mandat. Mon mandat, c'est de donner tel type de service. C'est ça, mon mandat. Puis ça, ça fonctionne, ça fait la job. Touche pas à ça. C'est une dépense sinon.

Alors, nous, notre mandat, c'est de dire non, non, non, parce que dans une optique du gouvernement du XXIe puis du XXIIe siècle, on ne peut plus faire ces choses-là. On ne peut plus laisser nos systèmes péricliter comme ça. Alors, le mandat, il est large, mais en même temps, il est concentré sur la vision, l'utilisation, le développement des TI puis du potentiel des TI au sein de nos différents organismes.

17  941 M. Allaire : Merci, M. le ministre. Il y a deux éléments que vous avez nommés, on va revenir tantôt, peut-être, vers la fin avec la main-d'œuvre. Puis au niveau de l'expertise, là, vous venez de l'aborder un peu. Puis vous avez aussi abordé... puis c'est là-dessus que je veux revenir, là, au niveau des failles. En décembre dernier, on a eu peur, on va se le dire comme ça. Il y a eu une faille qui a été identifiée, qu'il y avait un réel risque, autant pour les entreprises que pour les différentes administrations gouvernementales, sans tomber dans le technique pour ne pas perdre les gens qui nous écoutent, parce que même moi, je me perds un peu dans le langage informatique, là, je me suis mis du java parce qu'on l'étudie quand on était au secondaire, mais sinon, ça s'arrête là, moi aussi. Mais cela dit...

M. Caire : ...

17  941 M. Allaire : Oui. Mais cela dit, je pense que les gens ont vraiment eu peur. Puis quand le gouvernement a annoncé la fermeture des 4 000 sites gouvernementaux, je pense que ça a saisi tout le monde. Puis là, le monde, probablement, les citoyens se sont dit : Woup! Il est-u trop tard? Est-ce que la faille...

M. Allaire : ...elle était tellement grande que, finalement, les gens sont rentrés dedans puis sont allés chercher de l'information à tort. Mais l'histoire nous dit que c'est tout le contraire. Le gouvernement a réagi rapidement, a assumé un leadership fort, ça a été reconnu par les experts. J'ai envie que vous poussiez un peu plus loin la réflexion, là. De toute évidence, là, vous avez l'expertise à l'interne, mais comment vous allez faire pour garder, justement, cette expertise-là pour rassurer les citoyens du Québec?

• (11 h 20) •

M. Caire : Bien, écoutez, dans le cas de Log4Shell, c'est un bon exemple de ce que j'expliquais. Dans un contexte qu'on a connu par le passé, compte tenu du fait que chaque organisme public est responsable de sa cybersécurité, bien, il aurait été de la compétence de chaque premier dirigeant de chaque... puis là, on en a 305, imaginez-vous, là, 305 organismes qui ont individuellement à décider comment ils gèrent Log4Shell sans nécessairement comprendre exactement ce que ça fait. Puis, très brièvement, puis vous avez raison, je ne veux pas tomber dans les considérations techniques, mais, une fois que la vulnérabilité est identifiée, l'attaquant peut inscrire une ligne de code. Ce code-là s'exécute. Là, pas de validation, tu peux faire exécuter... n'importe quelle instruction que tu mets dans la librairie en question va s'exécuter. Puis ça, ça veut dire quoi? Ça veut dire que tu peux prendre le contrôle total du serveur, tu fais ce que tu veux avec toutes les données qui sont dessus, les liens de communication, tu peux mettre un cheval de Troie, tu peux mettre une porte dérobée, tu peux mettre un rançongiciel, tu peux de gâter solide. Ça faisait ça, c'était... Comme vulnérabilité, c'est considéré comme, probablement, la plus grande faille informatique dans l'histoire de DTI depuis ce qu'on peut répertorier.

Alors, l'avantage d'avoir le ministère, puis le réseau de cyberdéfense, puis d'avoir lu la loi no 95 aussi, c'est que monsieur Rodrigue a pu m'appeler, dire: Voilà, on a identifié ça. Voici - m'expliquant ce que je vous explique - voici le niveau, à quel point c'est catastrophique. Et nous, on a plusieurs milliers de systèmes qui sont visibles depuis Internet, et donc chacun d'eux est susceptible de tomber sous la coupe d'un attaquant de cette façon-là. C'est catastrophique.

Ce qui est intéressant, c'est qu'on avait déjà fait des travaux préparatoires, donc, dire: Ce que ça nous prend, c'est des protocoles. Comment on réagit à telle ou telle situation? C'est M. le député de Jacques-Cartier, tout à l'heure, qui disait: Comment vous vous préparez à ce genre de catastrophe là? Bien, c'est ce qu'on avait fait. Alors, on avait un protocole qui dit: Si vous avez un niveau de criticité de 10, donc ça, c'est... ça ne va pas bien à la "shop", là, la réaction, elle est automatique, on ferme le système, puis après ça on répare la faille en question. Mais il faut déconnecter le système, c'est automatique. Il n'y a rien d'autre à faire, la première chose... Le problème qu'on avait, c'est qu'on ne pouvait pas identifier quels étaient les systèmes qui utilisaient cette librairie-là qui était la source de la vulnérabilité. Ça fait qu'à partir de là la décision, c'était... bien, la recommandation de l'équipe, c'est-à-dire, bien, il faut fermer tous les systèmes parce qu'on ne sait pas lequel on va faire... par lequel on peut se faire attaquer. Alors, c'est ce qu'on a fait.

Et ça, c'est un exemple. Imaginez-vous dans le contexte passé, là. Chaque dirigeant aurait dû d'abord être avisé de ça. Ça fait que ça, ça se fait à géométrie variable, là, tu sais. Il y en a qui l'auraient eu le jour même, il y en a, ça aurait pris une semaine, deux semaines, trois semaines. Et là chaque dirigeant aurait dû faire la réflexion: Mais qu'est-ce que je fais avec ça? C'est quoi, les impacts? Avec des niveaux de connaissances puis un accès à des niveaux d'expertise à géométrie variable, probablement que toutes les... les recommandations n'auraient pas été toutes les mêmes. Donc, on se serait peut-être ramassés avec des vulnérabilités disponibles pendant des mois et des mois, puis avec les conséquences qu'on peut imaginer.

Donc, dans le fond, ce n'est pas tant moi ou... c'est ce qu'on a mis en place qui nous permet... Je veux dire, ça aurait été un autre, le protocole était le même. La vulnérabilité d'un niveau 10, vous fermez le système. Je ne suis pas capable d'identifier le système parce qu'on en a trop qui utilisent cette librairie-là. Bon, bien, vous les fermez tous. Tu sais, c'était évident. Puis, quand on se structure comme ça, quand on est capables de mettre en place cette structure-là de proaction, bien, c'est ça, c'est que les décisions deviennent faciles à prendre, elles sont automatiques. Mais ça, c'est parce qu'on a un modèle de gouvernance maintenant, au gouvernement du Québec, qui nous permet de travailler de cette façon-là, donc rapidement, de façon proactive et en respectant les protocoles qu'on met en place, ce qui assure une plus grande cybersécurité de nos systèmes d'information...

M. Allaire : ...merci, M. le ministre pour votre réponse. Allons-y un peu plus large, de façon plus macro. Je pense que par les fonctions que vous avez comme ministre vous devez assumer un leadership, on l'a dit tantôt, puis vous l'avez bien fait jusqu'à maintenant. Maintenant, pour garder vos équipes stimulées, pour vous garder aussi un certain niveau de confiance avec les citoyens du Québec, je pense que ça prend une vision. Là, je vous donne la chance un peu d'exprimer cette vision-là que vous avez du développement de votre ministère, peut-être à moyen puis à plus long terme. Puis, j'oserais même avoir l'audace de discuter un peu avec vous de l'enjeu de main-d'œuvre. Je pense que c'est un enjeu qui est très, très, très important. Vous avez parlé, là, à plusieurs occasions, en répondant aux collègues puis même en me répondant à moi tantôt, de l'importance de continuer à développer l'expertise. Alors, c'est quoi, la vision dans deux ans, dans quatre ans, dans 10 ans, de votre ministère?

M. Caire : Bien, en fait, le ministère répond à une vision qui est plus large, qui est de dire : Qu'est ce qu'on veut en termes numériques comme gouvernement? Vers où on s'en va. Qu'est-ce qu'on veut être capables de faire? Qu'est-ce qu'on veut que les citoyens puissent faire? À quels services on veut que les citoyens puissent avoir accès, services numériques, s'entend, dans l'année prochaine, dans cinq ans, dans dix ans, dans quinze ans, dans 20 ans.

Moi, ce que j'ai dit, c'est ce que je souhaite, à terme, c'est que le gouvernement du Québec soit accessible au bout du pouce. Comme je vais le faire avec mon institution financière, il y a un paquet d'opérations maintenant que je fais, je vais sur l'application mobile de mon institution financière et je peux faire... mes enfants ont besoin de sous, je leur transfère des fonds. Je veux aller payer ma carte de crédit, je fais le paiement, je veux payer des factures, je fais ça. Il y a à peu près toutes mes opérations financières se font avec mon téléphone.

Or, au gouvernement du Québec, on s'entend qu'on est un petit peu loin de ça. Il y a quelques services qui sont mis en place qui nous permettent de faire... quelques grandes organisations étatiques qui nous permettent de faire ça. Mais si je veux... je suis un restaurateur, M. le député, et je veux renouveler mon permis d'alcool. Eh! oublie ça, là. Là, c'est 80 pages de documents pour dire exactement tout ce qu'ils savent déjà, là, pour le répéter pour après ça avoir une demande qui va être traitée au pic puis à la pelle par quelqu'un, pour qui j'ai énormément de respect, mais qui pourrait certainement faire autre chose que ça, pour finalement imprimer un papier que tu vas envoyer à l'organisation ou au restaurant ou au bar en question, à qui tu vas demander d'afficher ça sur le mur. Bien, voyons donc. Ça, c'est juste l'étape après le pigeon voyageur, là. Tu sais. Non, non, mais c'est vrai, on est au XXIᵉ siècle, là. Je veux dire, pourquoi on ne prend pas le téléphone puis pourquoi le propriétaire du restaurant ou du bar en question ne reçoit pas une notification pour dire que son permis arrive à échéance? Voulez-vous le renouveler, oui ou non? Oui. Est-ce que vos conditions ont changé? Non. Est-ce qu'on prend le paiement comme la dernière fois? Oui, parfait. C'est réglé, c'est fini. C'est ça, le XXIe siècle, là, c'est le même qu'il faut que ça marche, là.

Tu sais, vous voulez inscrire vos enfants à l'école, là. Eh! bonne chance! Moi, les miens, en plus, ils ont la mauvaise idée de passer du primaire au secondaire. Ça aurait été bien plus simple s'ils avaient arrêté ça en sixième année, mais bon. Ça fait que là, il faut que je demande les bulletins de sixième année. Donc, il faut que je demande au ministère de l'Éducation le bulletin que le ministère de l'Éducation fournit pour donner ça à une autre organisation du ministère de l'Éducation, qui s'appelle l'école secondaire. Pourquoi il faut que je fasse ça? Parlez-vous. Parlez-vous. Alors, pourquoi moi, je ne reçois pas une notification qui dit : Votre enfant va s'inscrire au... voulez-vous l'inscrire? Bon, tu ne peux pas répondre non, ça fait que c'est oui ou oui, parce que la loi est là. Parfait. Voici les écoles dans le secteur de 50 kilomètres, si vous me permettez d'avoir accès à la géolocalisation. Oui, parfait. 50 kilomètres de ta maison, c'est ça qu'il y a. Il y a-tu un programme particulier? Bien oui, celui-là, il me plaît. Bien, parfait. Voici les écoles qui le donnent. Veux-tu que je t'inscrive? Oui, parfait. C'est réglé. Le reste, c'est toutes des questions, puis je les ai remplies, puis en quatre copies, hein. Les formulaires, là, qui te demandent toute la même affaire. Le nom de ton enfant? Je viens de te le dire. J'aurais pu continuer longtemps, M. le député.

M. Allaire : Oui. Belle vision.

Le Président (M. Simard) : Très bien.

M. Caire : …défoncé un peu, nous autres, là, là?

Le Président (M. Simard) : Non.

M. Caire : ...

Le Président (M. Simard) : Il faut gérer ça de manière rigoureuse...

M. Caire : J'étais parti...

Le Président (M. Simard) : ...comme l'ensemble du budget national. Donc, le temps alloué est écoulé. Nous allons donc procéder au vote sur les crédits suivants : le programme...

Le Président (M. Simard) : ...1, intitulé Direction et administration est-il adopté?

Une voix : Sur division.

Le Président (M. Simard) : Adopté sur division.

Le programme 2, intitulé Gestion des ressources informationnelles spécifiques est-il adopté?

Une voix : Sur division.

Le Président (M. Simard) : Adopté sur division.

Finalement, l'ensemble des crédits budgétaires du portefeuille Cybersécurité et Numérique pour l'exercice financier 2022‑2023 est-il adopté?

Une voix : Sur division.

Le Président (M. Simard) : Adopté sur division.

En terminant de déposer réponse aux demandes de renseignement de l'opposition. Et sur ce, compte tenu de l'heure, a nous suspendons. Nous reprenons après les affaires courantes, et on terminera ce soir autour de 20 heures. À plus tard.

(Fin de la séance à 11 h 30)


 
 

Document(s) related to the sitting