Article publié dans l'édition Automne 2019 de Gestion

En raison de l’énorme quantité de données confidentielles qu’il collecte au sujet des contribuables québécois, Revenu Québec est tenu à de très hautes normes en ce qui a trait à la cybersécurité. La gouvernance ainsi que les pratiques en matière de protection et de sécurité de l’information de cet organisme doivent donc être exemplaires.

« Avant même de protéger les données, nous devons les caractériser afin d’en évaluer la confidentialité et d’établir le bon degré de protection », explique Martin Fellice, ex-directeur de l’architecture et de la sécurité ainsi qu’ancien responsable organisationnel en sécurité de l’information à Revenu Québec.

Refaite à intervalles réguliers, cette caractérisation repose sur des indicateurs, par exemple la cote DIC (« disponibilité, intégrité, confidentialité »). Elle classe les données sur une échelle de confidentialité croissante allant de 1 à 4.


LIRE AUSSI : « Fraudes financières et dirigeants d'entreprise : les leçons à tirer »


La cote 4 indique ainsi que les conséquences sur un particulier pourraient être très graves si une donnée à son sujet se retrouvait entre les mains de gens mal intentionnés ou disparaissait du système d’information. Cette démarche est d’autant plus cruciale que toutes les données recueillies par Revenu Québec ne peuvent pas être traitées de la même manière.

L’organisme estime que tout renseignement qu’il collecte doit être protégé, mais il est tout particulièrement tenu de le faire dans certains cas en vertu de deux lois. En effet, Revenu Québec est assujetti à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ainsi qu’à la Loi sur l’administration fiscale. Celle-ci a introduit la notion de dossier fiscal et considère les informations qui y sont contenues comme confidentielles (et non seulement personnelles).

Revenu Québec n’a donc pas le droit de les confier à autrui sous quelque motif que ce soit (par exemple en les hébergeant sur des serveurs externes).

Les menaces évoluent

Les mesures de cybersécurité ont dû évoluer en fonction des manières d’interagir avec les citoyens. Pendant longtemps, la question sécuritaire a consisté à protéger l’accès aux données au sein même de Revenu Québec : celles-ci n’étaient que peu accessibles depuis l’extérieur. « Maintenant, les partenaires [d’autres organismes et certains ministères, par exemple] et les contribuables exigent un accès plus facile et plus varié aux informations, avec un ordinateur ou avec un appareil mobile, ainsi que de meilleurs services en ligne », souligne Khalid Lfakir, conseiller expert en cybersécurité à Revenu Québec.

Les exigences élevées en matière de sécurité et la numérisation des services souhaitée par les citoyens posent un gigantesque défi : conjuguer l’agilité des systèmes d’information et leur robustesse par rapport aux cybermenaces.

Revenu Québec affronte les mêmes risques d’attaques informatiques et d’actes de piratage que les entreprises privées et les particuliers. Une veille de cybersécurité lui est donc essentielle pour repérer les menaces potentielles à l’échelle mondiale. Toutefois, en raison des renseignements qu’il détient, l’organisme peut aussi faire l’objet d’attaques plus ciblées.

Le recours à des rançongiciels, au moyen desquels des pirates privent une organisation de l’accès à ses données et exigent une rançon en échange de la restitution de cet accès, était assez courant il y a deux ou trois ans.

En décembre 2016, un ordinateur chez Revenu Québec a été paralysé par un tel virus après que son utilisateur attitré eut cliqué sur une pièce jointe à un courriel qu’il avait reçu. Heureusement, le virus est resté confiné à ce poste et sa neutralisation n’a nécessité que trois heures de travail de la part d’un technicien.

Cet incident mineur a pourtant défrayé les manchettes, montrant à quel point la sécurité des informations détenues par Revenu Québec constitue un sujet délicat.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

La sensibilisation des employés

En ce moment, ce sont surtout les tentatives d’hameçonnage auprès des employés qui se multiplient. Auparavant, ces attaques étaient relativement faciles à détecter. Par exemple, des courriels rédigés dans un anglais très rudimentaire ont permis de sonner l’alerte à temps. Toutefois, les techniques se sont sophistiquées. Souvent écrits dans un français impeccable, ces courriels peuvent désormais passer pour des messages officiels de certaines organisations sans qu’un œil non exercé puisse se douter de la supercherie.

« Même si nos employés sont formés pour les reconnaître, il faut tenter de réduire le nombre de ces courriels qui se rendent à eux, notamment en installant des filtres dotés d’éléments d’intelligence artificielle pour les repérer et pour les isoler en amont », précise Khalid Lfakir.

Revenu Québec emploie aussi des firmes externes pour mener des exercices d’intrusion afin d’évaluer régulièrement la solidité de ses remparts virtuels. En plus des moyens de défense technologiques, il est crucial que la sensibilisation et la formation des employés soient exemplaires. Depuis longtemps, la direction de l’organisme rencontre chacun d’eux tous les ans.

À l’issue de ces entretiens, ils doivent adhérer, signature à l’appui, à un cadre normatif qui définit les pratiques sécuritaires en matière de cybersécurité et de protection de l’information.


LIRE AUSSI : « Dossier condamnés à la cyberfragilité - Êtes-vous cyberrésilient ? »


« Le plan de sensibilisation du personnel change toujours en fonction de l’évolution des menaces », précise Daniel Tripp, chef de service de la cybersécurité chez Revenu Québec. En 2019, plutôt que de mener une campagne intensive pendant quelques semaines, l’organisme a décidé de la réaliser en continu. Un portail intranet consacré à la protection des renseignements confidentiels et à la sécurité de l’information a permis de réaliser cette initiative.

Par ailleurs, lorsqu’une vague d’hameçonnages prend de l’ampleur, les employés reçoivent rapidement un courriel d’alerte. Revenu Québec doit parfois informer les contribuables des menaces qui pèsent sur eux. C’est notamment le cas lorsque des pirates usurpent l’identité de Revenu Québec ou de l’Agence du revenu du Canada (ARC) pour tenter de leur soutirer de l’argent.

Par exemple, des fraudeurs envoient de faux remboursements d’impôt par SMS à des contribuables, les invitant à cliquer sur un lien ou à composer un numéro de téléphone afin de toucher leur argent. D’autres, plus hardis, ont récemment appelé directement des citoyens canadiens en se faisant passer pour des représentants officiels de l’ARC.

Les extorqueurs leur ont dit qu’ils devaient payer des sommes à l’agence et les ont menacés d’arrestation et de poursuites s’ils n’obtempéraient pas très rapidement. Ce stratagème a permis de récolter frauduleusement 134 millions de dollars auprès de ceux qui sont tombés dans le piège.

La culture de la sécurité

« La sécurité de l’information ne se limite pas au seul secteur des TI : elle est transversale et ses responsabilités sont réparties dans toute l’organisation », indique Martin Fellice. En ce sens, la gouvernance rigoureuse des données et de la cybersécurité est une des conditions clés pour qu’une organisation soit dotée d’une saine culture sécuritaire. Les services de cybersécurité ont été rapprochés des instances de gouvernance, notamment du vice-président aux technologies, afin d’accroître la rapidité des réactions aux cybermenaces.

Dans le même esprit, Revenu Québec affecte un spécialiste de la sécurité aux équipes de développement de projets lorsque ceux-ci comprennent des éléments de TI. Cette personne participe activement aux phases de conception et de réalisation des projets plutôt que d’en vérifier ponctuellement le caractère sécuritaire.

À Revenu Québec, deux grands comités se partagent les responsabilités en matière de sécurité de l’information. Le Comité organisationnel stratégique en protection et en sécurité de l’information (COSPSI) est responsable des décisions stratégiques (politiques, grandes directives) et de la reddition de comptes organisationnelle. Six fois par année, en effet, l’organisme doit faire état de tous les incidents de sécurité, assurer le suivi de la formation, etc. Il est présidé par le PDG de Revenu Québec lui-même, considéré comme le premier responsable de la protection et de la sécurité de l’information (PSI).


LIRE AUSSI : « Dossier condamnés à la cyberfragilité - Cybersécurité : partager ou protéger les connaissances ? »


Quant à lui, le Comité organisationnel d’intégration en protection et en sécurité de l’information (COIPSI), auquel siègent des représentants des diverses directions générales de Revenu Québec, a davantage une vocation opérationnelle.

En plus de se pencher sur les préoccupations en matière de sécurité, il supervise la mise en oeuvre et monitore les effets concrets des mesures de PSI au sein des différents services de Revenu Québec, effectue le suivi des campagnes de sensibilisation, etc. Ce comité est présidé par le responsable organisationnel de la sécurité de l’information, qui siège aussi au COSPSI. Par ailleurs, tant le responsable de l’accès à l’information et de la protection des renseignements confidentiels que le responsable organisationnel de la sécurité de l’information siègent à la fois au COSPSI et au COIPSI.

Cette structure s’améliore sans cesse. « Nous sommes en train de revoir l’ensemble de notre cadre de gouvernance en fonction des meilleures pratiques que nous pouvons observer sur le marché », fait savoir Daniel Tripp. En effet, la cybercriminalité doit devenir une préoccupation de tous les instants : la sous-estimer pourrait mener à des dommages sans précédent.