Primes en argent: Eric Caire inaugure la chasse aux bogues

Publié le 05/05/2022 à 14:02

Primes en argent: Eric Caire inaugure la chasse aux bogues

Publié le 05/05/2022 à 14:02

Par Nicolas St-Germain

La mise sur pied d'un tel programme est une première pour une administration publique au Canada, selon le ministre Éric Caire. (Photo: courtoisie)

Le ministre de la Cybersécurité et du Numérique, Éric Caire, a annoncé la mise sur pied d’un projet pilote nommé «prime aux bogues», dont le but est de tester d’éventuelles vulnérabilités dans les actifs du gouvernement. 

«Nous sommes la première administration publique au Canada à mettre un tel système», s’est vanté jeudi le ministre Éric Caire lors de la conférence de presse présentant le nouveau service. 

Les chercheurs et les chercheuses en sécurité de l’information, pour ne pas dire les hackers, seront invités à accéder à un espace réservé par le gouvernement sur la plateforme française yeswehack.com. Considérant qu’il faut créer un compte pour accéder à l'outil, les contributions ne peuvent être anonymes.

Les environnements de test seront des copies des actifs gouvernementaux et aucune information personnelle ne sera accessible aux chercheurs et chercheuses, précise le communiqué de l'annonce.

Le gouvernement libère 94 000 $ pour ce projet pilote, dont 30 000 $ sont pour la plateforme yeswehack et 64 000 $ en primes pour les chercheurs et chercheuses. 

Quatre programmes et leurs sous-programmes pourront être testés dans cette phase expérimentale par les experts en sécurité de l’information moyennant un montant variant entre 50 $ et 7500 $, selon la criticité de la vulnérabilité et le niveau de préjudice de l'actif testé.

Les experts seront invités à soumettre un rapport qui sera transmis au Centre gouvernemental de cyberdéfense, le responsable du traitement. Une validation des failles sera faite et une fois confirmée, la somme sera versée aux experts selon les barèmes établis. Le gouvernement pourra aussi noter les rapports soumis. Cette cote sera attribuée à l’auteur et permettra de juger de sa crédibilité.

Le ministre s’est aussi assuré de mentionner que ce programme ne vise pas à substituer les pratiques internes en matière de détection de failles, mais plutôt «à ajouter une couche de plus pour que les systèmes soient cybersécuritaires».

À (re)lire: Déploiement de l’identité numérique: des zones d’ombre à éclaircir

Le projet pilote prendra fin au moment où la cagnotte de 64 000 $ sera expirée. À ce moment, un rapport sera fait dans le but de lancer un appel d’offre «en bonne et due forme» pour rendre permanent le programme. La cagnotte sera aussi bonifiée en conséquence des fonctions qui seront testées. 

En réponse à une question d’un journaliste, Éric Caire a précisé que le contenu des rapports ne seront pas publics, mais que certaines informations comme le montant des primes versées, le nombre de failles répertoriées et les niveaux de criticité pourront l’être.

 


 

Sur le même sujet

Responsable de la protection des renseignements personnels: un pour tous, tous contraints

COURRIER DES LECTEURS. Qui assume ce rôle de responsable de la protection des renseignements personnels chez vous?

Incidents de confidentialité: une règle de trois avant de signaler

COURRIER DES LECTEURS. Informer plus, informer mieux: c’est donc là tout l’objectif de la nouvelle loi.

À la une

Et si François Legault s'inspirait de l'autre modèle allemand?

ANALYSE. L'Allemagne a non seulement un secteur manufacturier très dynamique, mais aussi un mode de scrutin exemplaire.

Le PQ fait peu de cas de la perte de l’appui éditorial du journal «Le Devoir»

Mis à jour à 12:08 | La Presse Canadienne

S’il a perdu le soutien du quotidien, Paul St-Pierre Plamondon espère convaincre les indécis.

Nadeau-Dubois invite à «une grande jase politique» pour convaincre les indécis

Mis à jour à 12:04 | La Presse Canadienne

«Là c'est important de parler à vos parents, grands-parents, de leur dire ce qui vous inquiète pour l'avenir.»