Hydro-Québec a été la cible de près de quatre fois plus de cyberattaques en 2025 qu’en 2024, selon les derniers chiffres rendus publics. Si les opérations du réseau ont été maintenues sans interruption majeure, cette montée en flèche révèle une vulnérabilité structurelle préoccupante dans les systèmes numériques de nos institutions publiques. Dans un contexte de transition énergétique et de numérisation accélérée, la résilience digitale d’Hydro devient non seulement une question technique, mais un enjeu économique et démocratique majeur.
Le recours massif à la sous-traitance est l’une des failles systémiques que pointent plusieurs experts en cybersécurité publique. Lorsqu’on externalise la gestion de certaines composantes informatiques critiques à des entreprises privées, souvent au plus bas soumissionnaire, le contrôle sur les chaînes d’accès, les pratiques de sécurité et même les mises à jour devient flou et fragmenté. Ce modèle, pensé initialement pour maximiser les économies, tend désormais à générer l’effet inverse : des failles coûteuses et une dépendance technique accrue vis-à-vis d’acteurs externes.
Les budgets actuels prévus pour la cybersécurité chez Hydro-Québec — bien que non entièrement publics — semblent nettement en deçà des menaces recensées. D’après le professeur Nicolas Vermette, chercheur à l’Institut en sécurité numérique de Laval, il faudrait multiplier par deux ou trois les investissements uniquement pour atteindre les standards internationaux de résilience pour les réseaux critiques. Pourtant, au lieu d’une planification à long terme, on observe parfois des réactions ponctuelles, après coup, ce qui laisse les infrastructures vulnérables à des campagnes soutenues de piratage.
Les cas observés à Hydro-Québec doivent aussi servir d’alerte pour d’autres services publics : sociétés de transport, hôpitaux, réseaux d’aqueduc… Tous sont aujourd’hui hautement dépendants du numérique, mais fonctionnent avec des budgets limités, des équipes TI surchargées et une sous-traitance en cascade. L’exemple du CHU de Trois-Rivières, victime en 2023 d’une cyberattaque paralysante, illustre bien comment une faille peut entraîner des coûts humains avant même les pertes financières chiffrées.
Il est temps de formuler une vision politique cohérente de la cybersécurité publique : une stratégie à la hauteur de nos ambitions collectives. Centraliser certaines expertises numériques, créer une agence publique dédiée à la protection des infrastructures essentielles, renforcer la formation interne plutôt que dépendre d’experts venus de l’extérieur — ces options méritent d’être mises sur la table. L’État stratège ne doit pas uniquement guider la transition énergétique, il doit aussi bâtir les défenses numériques adaptées à cette transformation. Sans cela, nous risquons de laisser nos leviers économiques majeurs aux mains de ceux qui savent exploiter nos angles morts numériques.
