Axes d'intervention et objectifs

Au gouvernement du Québec, la cybersécurité constitue un objectif stratégique en soutien à la réalisation de la mission de l’État et de ses cibles de transformation numérique. Elle repose sur un leadership gouvernemental, l’instauration d’une gouvernance forte et intégrée de la cybersécurité et l’amélioration des comportements cybersécuritaires du personnel de l’État.

Objectif 1 - Gouverner la cybersécurité par une vision globale et concertée

Adopter une gouvernance qui s’appuie sur une vision globale et concertée simplifie la gestion des risques encourus et assure une meilleure protection de l’information. Une telle approche nécessite une cohésion d’ensemble et une forte concertation entre les acteurs de l’écosystème gouvernemental de cybersécurité. Sa mise en œuvre impose une gouvernance forte et intégrée qui repose sur un cadre légal, administratif et normatif adapté à l’ère du numérique.

Cet objectif implique notamment :

  • d’adapter le cadre législatif et réglementaire qui régit la sécurité de l’information et la protection des renseignements personnels et de veiller à son application. Les textes qui en découleront devront cibler autant la protection de l’information que la résilience des systèmes à l’ère du numérique;
  • de réviser le cadre de gestion de la sécurité de l’information en mettant notamment l’accent sur la définition d’une structure gouvernementale de coordination et de collaboration, le partage des rôles et des responsabilités, le suivi des réalisations et la mesure des bénéfices afférents, ainsi que sur la détermination d’indicateurs de performance viables et appropriés. Afin d’accroître les réflexes de cybersécurité, la gestion gouvernementale des risques, des incidents de sécurité et des situations de crise sera soutenue par des pratiques standardisées;
  • de soutenir et d’accompagner les organisations publiques dans la prise en charge des incidents et des exigences de cybersécurité.

Objectif 2 - Placer le personnel au cœur de la cybersécurité

L’Administration gouvernementale entend faire du personnel de l’État un acteur averti quant aux comportements et aux pratiques exemplaires à adopter devant les cybermenaces. Elle mise ainsi sur le développement de ses compétences et sa sensibilisation à l’égard des cyberrisques et vise à ancrer la cybersécurité dans la culture des organisations publiques afin que cette priorité gouvernementale devienne l’affaire de tous. De telles initiatives permettront au personnel de participer à la résilience globale de son organisation, voire à celle de l’écosystème gouvernemental.

Cet objectif implique notamment que :

  • l’ensemble du personnel de l’État devienne le maillon fort de la cybersécurité par des comportements proactifs et adéquats à l’égard de l’information, des risques et des cybermenaces;
  • des actions de prévention et de promotion de la cyberhygiène soient mises en œuvre dans les milieux de travail.

Ces actions sont appuyées par des programmes de formation et de sensibilisation en continu et sont renforcées par des pratiques de vérification des connaissances en cybersécurité et par l’application des comportements exemplaires en la matière.

L’apparition de nouveaux risques de sécurité de l’information à l’ère du numérique représente un défi d’importance. La protection de l’information et la résilience des services publics étant au cœur des préoccupations de l’Administration gouvernementale, les risques doivent être identifiés, traités et leurs impacts potentiels réduits à un niveau acceptable. À cet égard, l’Administration gouvernementale doit se doter de mesures pour se prémunir et faire face à tout type d’attaques et à d’éventuels sinistres.

Objectif 3 - Assurer la protection et la résilience des services publics et des échanges électroniques gouvernementaux

La protection de l’information gouvernementale, des systèmes, des infrastructures et des moyens de communication qui permettent d’offrir les services publics est un impératif absolu que le gouvernement entend assurer. Devant les enjeux de cybersécurité, des mesures à l’égard des risques et des menaces internes et externes s’imposent. Il en est de même de la résilience des services publics et des communications gouvernementales en cas de cyberattaque ou de sinistre.

Cet objectif implique notamment :

  • un processus rigoureux de gestion des cyberrisques, basé sur une bonne connaissance des menaces et des mesures possibles en matière de cybersécurité, sur la détermination des actifs critiques et de leur emplacement ainsi que sur la catégorisation de l’information;
  • la mise en place de mesures d’atténuation des risques (comme les mécanismes d’habilitation sécuritaire, le cloisonnement des réseaux informatiques, la détection des incidents et la réponse automatique à ceux-ci, la sauvegarde régulière de l’information, les plans de reprise informatique et la vérification de leur déploiement effectif, les tests d’intrusion et les exercices de simulation d’attaque), menées en partenariat avec les acteurs de l’écosystème de cybersécurité québécois, canadien et international;
  • que tous les échanges d’information entre les ministères, les organisations et les acteurs de l’écosystème soient réalisés par l’entremise de réseaux de télécommunication reconnus qui assurent une protection adéquate;
  • une gestion de l’identité et des accès qui prend appui sur une identité numérique conviviale, interopérable et hautement sécuritaire ainsi que sur l’application normalisée de la surveillance des accès;
  • que la protection de l’information et la résilience des systèmes, des infrastructures et des moyens de communication, qui permettent d’offrir les services publics, soient intégrées dès leur conception ou qu’elles soient prévues dans les contrats d’acquisition et de soutien, et ce, pour tout le cycle de vie.

Le gouvernement entend stimuler la collaboration des organisations publiques dans l’implantation de moyens technologiques innovants pour la protection adéquate de l’information, en demeurant responsable à chacune des étapes du cycle de vie de celle-ci. Il en est de même pour la protection des échanges et des communications entre les organisations publiques et avec les partenaires.

Objectif 4 - Être proactif à l’égard des menaces émergentes

La forme sans cesse renouvelée des cybermenaces constitue un enjeu de taille pour l’Administration gouvernementale. La protection à l’égard des cybermenaces émergentes, souvent inconnues, est de plus en plus complexe. Devant celles-ci, le gouvernement entend augmenter les capacités institutionnelles d’analyse des risques émergents et de prospective et mettre en place les mesures préventives appropriées de protection et de renforcement de la résilience de ses systèmes.

Cet objectif implique notamment :

  • d’établir des liens avec certains partenaires de confiance afin de constituer un réseau d’alerte;
  • de fédérer des initiatives de recherche et de veille en matière de cybersécurité.

Objectif 5 - Miser sur les forces d’un réseau gouvernemental de cyberdéfense

Le renforcement des dispositifs de prévention et de réaction à l’égard des cybermenaces, requiert la mise en place d’un réseau gouvernemental de cyberdéfense, sous le leadership d’une structure gouvernementale de commandement. Cette structure jouera, au sein du réseau, le rôle d’entité de confiance qui coordonnera la prise en charge des incidents de sécurité et des communications opérationnelles.

Cet objectif implique notamment :

  • de coordonner les efforts en cybersécurité des organisations publiques et des unités opérationnelles de cyberdéfense, comme le partage et la mise en commun des connaissances et de l’expertise ainsi que le recours à des pratiques standardisées;
  • de jouer un rôle collaboratif dans l’écosystème de cybersécurité québécois, national et international, tout en tenant compte des impératifs de souveraineté numérique pour une autonomie accrue du public sur ses données et une capacité pleine et entière de l’État pour en assurer la protection;
  • de mettre en place un processus de communication aux autorités concernées.

Objectif 6 - Tirer profit d’une expertise de pointe en cybersécurité

Pour réussir la transformation numérique gouvernementale, il est nécessaire d’avoir une main‑d’œuvre hautement qualifiée en sécurité de l’information. Cette expertise doit évoluer en continu, au rythme des changements technologiques.

Cet objectif implique notamment :

  • de cibler les champs de compétences requis en cybersécurité adaptés à la nouvelle réalité;
  • de diversifier les profils et les domaines de compétences du personnel qui travaille en cybersécurité;
  • d’offrir des programmes de formation selon les champs de compétences déterminés, en mettant à contribution les forces vives du Québec dans le domaine des pratiques sécuritaires en technologies de l’information, particulièrement de la cybersécurité;
  • de déterminer le parcours de personnes susceptibles de renforcer le bassin gouvernemental de ressources en cybersécurité, mais non formées dans le domaine, et de leur offrir la possibilité de réorienter leur carrière par des formations spécialisées en la matière;
  • d’évaluer en continu les moyens de formation offerts et les compétences acquises en sécurité de l’information, et ce, en réponse aux défis.

Pour favoriser cette main-d’œuvre qualifiée, le gouvernement entend fédérer les efforts et coordonner une démarche collective auprès de l’ensemble des acteurs de l’écosystème québécois de cybersécurité. Par ailleurs, il mettra à contribution les établissements d’enseignement du Québec, en misant sur l’attractivité et la diversité.

L’utilisation des services publics repose non seulement sur le niveau de confiance des citoyennes et citoyens quant à la robustesse des systèmes gouvernementaux, mais également sur leur habileté ainsi que sur leur capacité d’en faire usage de façon sécuritaire afin de préserver la confidentialité de leurs données personnelles et le respect de leur vie privée.

Objectif 7 - Préserver la confiance des citoyennes et citoyens à l’égard de la sécurité de leurs données

Le gouvernement entend préserver la confiance des citoyennes et citoyens à l’égard de la sécurité de leurs données par son engagement de transparence en faveur d’une utilisation éthique et par l’intégration de pratiques exemplaires pour en assurer la protection.

Cet objectif implique notamment :

  • de fournir à toute personne une identité numérique qui lui permet de s’identifier et de s’authentifier de façon sécuritaire;
  • de faciliter, selon les lois applicables, l’accès par toute personne aux données qui la concernent;
  • de permettre à toute personne, selon les lois applicables, de mettre à jour les données que le gouvernement détient à son égard.

Objectif 8 - Faire des citoyennes et citoyens des utilisateurs numériques avertis

Le gouvernement entend mener des actions de sensibilisation à l’égard du public afin que celui‑ci acquière des habitudes et des comportements sécuritaires qui contribuent à accroître sa confiance dans ses relations numériques avec l’État.

Cet objectif implique notamment :

  • de rendre des contenus informatifs accessibles au public, en mettant à profit l’ensemble de l’écosystème;
  • de stimuler l’acquisition des compétences du public, par l’entremise des établissements d’enseignement;
  • d’assurer que les interactions numériques entre l’Administration gouvernementale et le public soient connues, standardisées et sécuritaires, et ce, afin d’éviter les bris de confidentialité.

Le gouvernement vise à tirer avantage de l’ensemble des ressources disponibles, incluant des solutions et des services offerts par des tiers. Un partenariat durable en matière de conseil, d’expertise, de collaboration et de soutien constitue une valeur ajoutée dans un écosystème où les échanges entre les parties prenantes jouent un rôle déterminant. De plus, le gouvernement du Québec verra à convenir, avec les parties, de retombées tangibles pour l’Administration gouvernementale.

Objectif 9 - Tirer avantage des forces de l’écosystème

Tout en préservant la souveraineté sur ses données, le gouvernement entend tirer avantage des forces de l’écosystème en tissant des alliances stratégiques afin de faire du Québec un espace de conception de solutions innovantes en cybersécurité. À cet égard, il favorisera la recherche, l’innovation, et la mise en place de programmes avec différents partenaires gouvernementaux pour stimuler l’échange d’expertise et le partage de bonnes pratiques.

Cet objectif implique notamment :

  • de faire en sorte que le gouvernement du Québec assure une synergie pour l’atteinte de buts communs avec les partenaires de l’écosystème;
  • de rallier les organisations dans la détermination de pistes de solution sur des thèmes particuliers en lien avec la cybersécurité, en stimulant la recherche et l’innovation;
  • de maximiser les retombées, au sein de l’Administration gouvernementale, qui découlent des sommes investies en provenance de fonds publics.

Ce faisant, le gouvernement contribuera à faire du Québec un pôle reconnu en cybersécurité, lequel concourra au développement économique et à l’attraction des talents en cette matière.