Le 5 mai dernier, le gouvernement du Québec a annoncé le lancement de son premier Programme de prime aux bogues. Objectif : rehausser la sécurité des actifs informatiques gouvernementaux. Cette initiative est portée par le ministère de la Cybersécurité et du Numérique dont le ministre monsieur Éric Caire est aussi responsable de l’Accès à l’information et de la Protection des renseignements personnels.
Une initiative inédite au Canada
On notera que cette initiative est une première dans une administration publique au Québec et au Canada. Cette prime au bogues ou « bug bounty » s’adresse aux chercheuses et chercheurs en sécurité de l’information qui se spécialisent dans la détection de vulnérabilités. Ils pourront avoir accès, sous le contrôle du gouvernement, à certains actifs pour y trouver des failles qui peuvent compromettre la sécurité des données des Québécoises et des Québécois. Aucun renseignement personnel ne sera accessible aux chercheurs qui analyseront les actifs.
Une collaboration attendue depuis longtemps avec les hackers du Québec
Le 25 août 2021, un informaticien avait trouvé une brèche de sécurité dans l’application de passeport sanitaire VaxiCode et offert son aide au ministre de la Transformation numérique, Éric Caire. Mais le gouvernement du Québec avait alors refusé d’accorder son immunité et de le considérer comme un lanceur d’alerte, tout en souhaitant mieux encadrer la collaboration avec les hackers éthiques. (détails dans notre article) Finalement en octobre 2021, face à l’explosion exponentielle des menaces de cybersécurité, le gouvernement du Québec avait tendu la main à ces hackers en leur proposant une plateforme de signalement de vulnérabilités, via un formulaire anonyme.
Une plateforme française pour la collaboration avec les hackers
Mais c’est finalement avec un acteur privé spécialisé que les actifs du gouvernement du Québec seront soumis à la communauté, sur la plateforme YesWeHack. C’est un leader européen, d’origine française, spécialisé depuis 2015 dans la mise en contact entre des entreprises et des hackers éthiques. La communauté YesWeHack compte plus de 30 000 experts en sécurité dans 170 pays. Le principe est de rémunérer ces chercheurs en sécurité selon les failles découvertes.
Pour l’opération menée avec le gouvernement du Québec, cette rémunération se base sur une grille d’évaluation de la criticité de la vulnérabilité découverte (de basse à critique) et son préjudice possible (de bas à exceptionnel). La prime minimale de ce barème est de 50 $ par bogue et la maximale de 7500 $.