La proximité du Canada avec les États-Unis est souvent présentée comme un facteur de vulnérabilité face aux cyberattaques. L’argument est simple : les États-Unis sont fortement ciblés, le Canada leur est géographiquement, économiquement et stratégiquement lié, donc il devient lui aussi plus exposé. Cette lecture est juste. Mais elle demeure incomplète.
Le vrai sujet n’est pas seulement que le Canada est plus vulnérable parce qu’il est voisin des États-Unis. Le vrai sujet, pour le Québec, est plus profond : nous vivons dans une architecture numérique, sécuritaire et institutionnelle que nous ne contrôlons pas entièrement.
Or, dans le monde actuel, ça change tout.
La cybersécurité n’est plus un domaine spécialisé réservé aux informaticiens, aux agences fédérales ou aux experts en renseignement. Elle touche directement les hôpitaux, les écoles, les municipalités, les entreprises, les élections, les services publics, les données personnelles, la confiance citoyenne et la capacité d’un peuple à se gouverner sans être constamment exposé, paralysé ou manipulé.
Autrement dit, la cybersécurité est devenue une question nationale.
Quand Ottawa affirme que le Canada attire l’attention des cybercriminels étrangers parce qu’il possède des atouts en intelligence artificielle, en recherche quantique, en diplomatie et en innovation, il révèle une réalité majeure : les infrastructures numériques sont maintenant des infrastructures de souveraineté.
Un hôpital piraté, ce n’est pas seulement un problème informatique. C’est une salle d’attente qui s’allonge, une chirurgie retardée, un diagnostic ralenti, une infirmière qui revient au papier, un patient qui paie le prix d’une faiblesse invisible.
Une base de données compromise, ce n’est pas seulement une fuite technique. C’est une perte de confiance envers l’État, une exposition de la vie privée, une fragilisation du lien entre le citoyen et les institutions.
Une campagne de désinformation amplifiée par l’intelligence artificielle, ce n’est pas seulement du bruit en ligne. C’est une tentative d’altérer le jugement public, de fatiguer la population, de brouiller les faits et d’affaiblir la capacité collective de décider.
Le numérique n’est plus un outil autour de l’État. Il est devenu une partie de l’État.
Et quand une partie de l’État est vulnérable, c’est toute la société qui l’est.
Le discours fédéral parle de cyberrésilience. Le mot est utile. Il désigne la capacité de prévenir les attaques, d’y résister, de rétablir les services et de limiter les dégâts. Mais ce mot peut aussi devenir un écran s’il évite la question centrale : qui détient les leviers?
Qui protège les données des Québécois?
Qui décide des normes de sécurité?
Qui contrôle les infrastructures?
Qui négocie avec les grands fournisseurs technologiques?
Qui possède l’expertise interne?
Qui peut intervenir rapidement sans dépendre d’une chaîne de décision fédérale?
Qui définit la doctrine de sécurité numérique applicable aux services publics québécois?
Ces questions sont décisives parce qu’un peuple peut avoir des chercheurs brillants, des entreprises innovantes, des talents en intelligence artificielle et des institutions compétentes, tout en demeurant vulnérable s’il ne maîtrise pas la chaîne complète de décision.
Il peut produire de la valeur, mais voir d’autres structurer le cadre.
Il peut développer de l’expertise, mais laisser d’autres définir les priorités.
Il peut subir les conséquences d’une attaque, mais ne pas posséder tous les moyens politiques, juridiques, diplomatiques et technologiques pour y répondre selon ses propres intérêts.
La proximité avec les États-Unis expose le Canada. Mais la dépendance envers le Canada expose aussi le Québec.
C’est là que l’enjeu devient politique.
Le Québec ne peut plus traiter la cybersécurité comme une simple responsabilité administrative. Il doit la traiter comme une fonction stratégique de l’État national. Les données publiques, les systèmes de santé, les réseaux municipaux, les infrastructures énergétiques, les plateformes éducatives, les services fiscaux, les registres civils et les communications gouvernementales forment désormais un territoire numérique.
Ce territoire n’a pas de frontières visibles, mais il a des points d’entrée. Il n’a pas de routes asphaltées, mais il a des réseaux. Il n’a pas de douanes classiques, mais il a des protocoles, des accès, des dépendances et des permissions.
Et comme tout territoire, il doit être défendu.
La difficulté, c’est que la dépendance numérique avance souvent sans bruit. Elle ne ressemble pas à une occupation. Elle ressemble à un contrat de service, à une plateforme infonuagique, à un fournisseur externe, à un logiciel imposé, à une solution clé en main, à une migration accélérée, à une expertise qu’on n’a pas gardée dans l’État parce qu’on croyait pouvoir l’acheter au besoin.
C’est précisément là que naît la vulnérabilité.
Quand l’État perd son expertise interne, il perd sa capacité de juger.
Quand il dépend trop de fournisseurs externes, il perd sa marge de manœuvre.
Quand les données sont dispersées, mal classées ou mal gouvernées, il perd sa visibilité.
Quand les systèmes publics sont conçus sans doctrine nationale claire, il perd sa cohérence.
Quand la sécurité est ajoutée après coup, elle devient un bricolage.
Le Québec doit donc sortir d’une logique de réparation permanente. Il doit bâtir une doctrine de souveraineté numérique.
Ça ne veut pas dire se fermer au monde. Ça veut dire savoir avec qui on travaille, à quelles conditions, avec quels contrôles, avec quelles garanties, avec quelle capacité de remplacement et avec quelle maîtrise publique.
L’autonomie numérique ne consiste pas à tout faire seul. Elle consiste à ne jamais être prisonnier de ce qu’on ne contrôle pas.
Dans un contexte où l’intelligence artificielle amplifie les cybermenaces, cette exigence devient encore plus forte. L’IA permet de créer de faux contenus, d’imiter des voix, de fabriquer des messages crédibles, d’automatiser des attaques, de personnaliser des fraudes, de multiplier les tentatives d’hameçonnage et d’accélérer l’espionnage informationnel.
Le danger n’est pas seulement que des machines deviennent plus puissantes. Le danger est que des acteurs hostiles puissent manipuler plus vite, cibler plus précisément et frapper des institutions déjà fragiles.
La désinformation devient moins coûteuse.
L’attaque devient plus rapide.
La fraude devient plus crédible.
L’espionnage devient plus automatisé.
La pression sur les institutions devient constante.
Face à ça, la réponse ne peut pas être seulement individuelle. Bien sûr, chaque citoyen doit protéger ses mots de passe, éviter de transmettre des renseignements sensibles, vérifier les sources, se méfier des courriels suspects et faire preuve de prudence avec ses données personnelles. Mais une société ne se protège pas seulement par la vigilance individuelle. Elle se protège par des institutions capables.
La responsabilité personnelle ne doit jamais servir d’alibi à l’impuissance publique.
Le Québec doit donc renforcer sa capacité d’action sur cinq plans.
D’abord, il doit consolider une expertise publique permanente en cybersécurité. L’État ne peut pas dépendre uniquement de consultants, de fournisseurs ou de contrats temporaires pour comprendre ses propres systèmes. Il doit posséder en interne une capacité forte d’audit, d’architecture, de réponse aux incidents, de protection des données et de planification stratégique.
Ensuite, il doit établir une doctrine claire pour les données publiques. Toutes les données n’ont pas la même sensibilité, mais toutes doivent être gouvernées. Les renseignements de santé, les données fiscales, les dossiers scolaires, les informations municipales et les données d’identité doivent être protégés selon des règles publiques strictes, compréhensibles et appliquées.
Puis, le Québec doit réduire ses dépendances critiques. Il ne s’agit pas de rompre tous les liens avec les grands fournisseurs technologiques. Il s’agit de savoir où se trouvent les points de vulnérabilité, quels services sont impossibles à remplacer rapidement, quels contrats limitent la souveraineté de décision et quelles données échappent à une maîtrise complète.
Il faut aussi former massivement. La cybersécurité ne peut pas être concentrée dans quelques équipes spécialisées. Les gestionnaires publics, les employés municipaux, les directions d’école, les établissements de santé, les PME, les organismes communautaires et les élus doivent comprendre les risques de base. Une société numérisée ne peut pas fonctionner avec une culture numérique faible.
Enfin, le Québec doit lier cybersécurité et souveraineté politique. Tant que les leviers constitutionnels, diplomatiques, législatifs et sécuritaires sont partagés ou limités par le cadre canadien, la capacité d’action demeure partielle. Le Québec peut agir, mais il agit souvent dans un espace contraint. Il peut se protéger, mais pas toujours selon une doctrine complète. Il peut réagir, mais avec des dépendances qu’il n’a pas toutes choisies.
C’est ici que la question nationale rejoint la question numérique.
Un peuple qui ne contrôle pas ses données ne contrôle pas entièrement sa mémoire administrative.
Un peuple qui ne contrôle pas ses infrastructures numériques ne contrôle pas entièrement ses services publics.
Un peuple qui ne contrôle pas ses normes de sécurité ne contrôle pas entièrement les conditions de sa confiance collective.
Un peuple qui ne contrôle pas ses leviers stratégiques doit toujours demander, négocier, attendre ou s’adapter.
Le Québec ne peut pas accepter que son avenir numérique soit traité comme un dossier secondaire. La langue française, l’éducation, la santé, l’économie, les infrastructures et la démocratie passent désormais par des systèmes numériques. Si ces systèmes sont vulnérables, dépendants ou mal gouvernés, c’est la capacité nationale elle-même qui s’affaiblit.
La cyberattaque moderne ne cogne plus seulement à la porte. Elle entre par les dépendances qu’on a normalisées.
Elle entre par les systèmes qu’on a trop vite externalisés.
Elle entre par les données qu’on a mal classées.
Elle entre par les organisations qu’on a sous-financées.
Elle entre par les employés qu’on n’a pas formés.
Elle entre par les décisions qu’on a reportées.
Elle entre, surtout, par l’illusion que la technique peut être séparée du politique.
Or, rien n’est plus politique aujourd’hui que l’architecture numérique d’un État. Elle décide de ce qui circule, de ce qui est protégé, de ce qui est exposé, de ce qui est mémorisé, de ce qui est effacé, de ce qui peut être attaqué et de ce qui peut être restauré.
La cybersécurité n’est donc pas seulement une question de défense. C’est une question de maîtrise.
Et la maîtrise ne se délègue pas entièrement.
Le Québec doit protéger ses données comme il protège son territoire. Il doit protéger ses infrastructures numériques comme il protège ses routes, ses barrages, ses hôpitaux et ses écoles. Il doit traiter l’expertise informatique publique comme une capacité stratégique, non comme une dépense interchangeable.
La souveraineté numérique ne remplacera pas la souveraineté politique. Elle en est devenue une composante matérielle.
Parce qu’au XXIe siècle, un État qui ne maîtrise pas ses systèmes ne maîtrise plus entièrement ses décisions.
Et un Québec qui veut se protéger doit commencer par reprendre le contrôle de ses propres serrures.