La mise sur pied d'un tel programme est une première pour une administration publique au Canada, selon le ministre Éric Caire. (Photo: courtoisie)
Le ministre de la Cybersécurité et du Numérique, Éric Caire, a annoncé la mise sur pied d’un projet pilote nommé «prime aux bogues», dont le but est de tester d’éventuelles vulnérabilités dans les actifs du gouvernement.
«Nous sommes la première administration publique au Canada à mettre un tel système», s’est vanté jeudi le ministre Éric Caire lors de la conférence de presse présentant le nouveau service.
Les chercheurs et les chercheuses en sécurité de l’information, pour ne pas dire les hackers, seront invités à accéder à un espace réservé par le gouvernement sur la plateforme française yeswehack.com. Considérant qu’il faut créer un compte pour accéder à l'outil, les contributions ne peuvent être anonymes.
Les environnements de test seront des copies des actifs gouvernementaux et aucune information personnelle ne sera accessible aux chercheurs et chercheuses, précise le communiqué de l'annonce.
Le gouvernement libère 94 000 $ pour ce projet pilote, dont 30 000 $ sont pour la plateforme yeswehack et 64 000 $ en primes pour les chercheurs et chercheuses.
Quatre programmes et leurs sous-programmes pourront être testés dans cette phase expérimentale par les experts en sécurité de l’information moyennant un montant variant entre 50 $ et 7500 $, selon la criticité de la vulnérabilité et le niveau de préjudice de l'actif testé.
Les experts seront invités à soumettre un rapport qui sera transmis au Centre gouvernemental de cyberdéfense, le responsable du traitement. Une validation des failles sera faite et une fois confirmée, la somme sera versée aux experts selon les barèmes établis. Le gouvernement pourra aussi noter les rapports soumis. Cette cote sera attribuée à l’auteur et permettra de juger de sa crédibilité.
Le ministre s’est aussi assuré de mentionner que ce programme ne vise pas à substituer les pratiques internes en matière de détection de failles, mais plutôt «à ajouter une couche de plus pour que les systèmes soient cybersécuritaires».
À (re)lire: Déploiement de l’identité numérique: des zones d’ombre à éclaircir
Le projet pilote prendra fin au moment où la cagnotte de 64 000 $ sera expirée. À ce moment, un rapport sera fait dans le but de lancer un appel d’offre «en bonne et due forme» pour rendre permanent le programme. La cagnotte sera aussi bonifiée en conséquence des fonctions qui seront testées.
En réponse à une question d’un journaliste, Éric Caire a précisé que le contenu des rapports ne seront pas publics, mais que certaines informations comme le montant des primes versées, le nombre de failles répertoriées et les niveaux de criticité pourront l’être.