/investigations/techno
Navigation

Fraudes de CV dans les contrats informatiques

Pour obtenir des mandats de l’État, des firmes mentent sur les compétences réelles de leurs employés

Coup d'oeil sur cet article

 Des entreprises expertes en informatique trafiquent couramment les curriculum vitae de leurs consultants afin d’obtenir de lucratifs contrats du gouvernement, a appris notre Bureau d’enquête. 

 Plusieurs consultants qui travaillent au sein des ministères et organismes, notamment en sécurité informatique, n’ont donc pas les compétences exigées dans les contrats. 

 Ainsi, plusieurs firmes informatiques sont en mesure de remporter des contrats auxquels elles ne seraient même pas admissibles avec l’appareil public, qui les déclarerait non conformes. 

 De nombreuses sources se sont confiées à notre Bureau d’enquête, soutenant que des employeurs ont demandé de modifier leur CV afin de répondre aux exigences d’appels d’offres. 

 Une méthode permettant d’ajouter de fausses années d’expérience et des formations spécifiques de haut niveau au curriculum de jeunes consultants. 

 Cette pratique est courante, affirment ces sources, qui désirent pour la plupart garder l’anonymat, craignant des représailles des entreprises qui les engagent ou de leurs anciens partenaires d’affaires. 

 Fausse représentation 

 C’est une autre tache au dossier dans le milieu des technologies de l’information (TI), qui se sont retrouvées sur la sellette ces dernières années en raison du bordel informatique. 

 Rappelons que le ministre responsable de l’informatique, Éric Caire, a promis de faire le grand ménage lui-même. Il a rejeté l’idée d’une commission d’enquête après l’avoir exigée à répétition dans l’opposition. 

 L’expert Steve Waterhouse soutient avoir été témoin de cette pratique qualifiée de « normale » dans l’industrie des TI. 

 «Je peux dire que j’ai vu souvent du trafiquage de CV. Les entreprises privées le savent, le gouvernement le sait, tout le monde le sait», souligne celui qui a notamment travaillé pour le ministère de la Défense nationale. 

 «La compétition est forte et tout le monde le fait. Ce n’est pas seulement les PME, ce sont aussi les grandes et très grandes entreprises, explique-t-il. Malheureusement, c’est accepté... pour être capable de faire des affaires. Oui, c’est de la fausse représentation.» 

 Ce type de falsification peut cependant mener à de graves conséquences pour l’entreprise fautive. 

 «C’est très grave» 

 Parfois, les entreprises modifient directement les curriculums, sans en informer l’employé. À d’autres moments, les consultants se font demander par leur supérieur s’ils peuvent améliorer leur CV. 

 «Mon employeur actuel me l’a demandé», souligne un expert en sécurité informatique, assurant avoir refusé de le faire. 

 «Moi je peux refuser, dit-il, mais un junior qui commence peut avoir tendance à accepter [...] C’est très grave.» 

 Le cas de Michel Cusin, spécialiste et consultant en sécurité informatique, est préoccupant. Son CV s’est d’abord retrouvé entre les mains de plusieurs firmes, puis il y a quelques mois, une partie de celui-ci a carrément été dérobée et s’est retrouvée sur le CV d’un autre consultant qui postulait pour un contrat public. 

 «Un copier-coller» que notre Bureau a pu consulter. Un incident qui a passablement fâché M. Cusin. 

 On passe l’éponge 

 Le CSPQ a accepté cette version des faits et a passé l’éponge. 

 «À un moment donné, tu utilises un ordinateur et tu ne portes pas attention. C’est normal, ça arrive, ça peut arriver, ça s’explique. On a rappelé les mesures qui s’appliquent et ça s’arrête là. Ça ne va pas plus loin que ça», s’est justifié Christian Therrien, porte-parole du CSPQ. 

 Le conseiller principal de l’entreprise, M. Chevalier, a répondu que son entreprise est reconnue pour « sa grande rigueur ». Il impute ces histoires à la jalousie des concurrents : 

 «Nous sommes conscients que notre succès peut déranger au sein d’une industrie particulièrement compétitive», a opiné celui qui siège également au sein du Comité consultatif sur l’innovation technologique de l’Autorité des marchés financiers. 

 Depuis l’incident, Vumetric a décroché des contrats gouvernementaux de gré à gré.  

 De graves conséquences 

 S’ils présentent des renseignements trompeurs, les firmes s’exposent à la résiliation du contrat, peuvent être radiées durant deux ans et même perdre la possibilité d’obtenir des contrats de l’appareil public, explique le CSPQ. Toutefois, l’organisation gouvernementale certifie ne pas avoir observé de comportement généralisé de fraude de CV, comme l’expriment les sources de notre Bureau d’enquête. «Les membres des comités de sélection analysent les CV soumis pour s’assurer du respect des conditions de l’appel d’offres. S’ils y dénotent des éléments discordants ou invraisemblables, des vérifications additionnelles sont alors effectuées.»  

 L’incompétence entre en jeu 

 Un des effets, soulignent nos sources, c’est que ce trafic de CV amène « l’incompétence » au sein des organismes publics avec ces consultants sous-qualifiés. 

 «Ça met en péril les services qui sont offerts à la population», a indiqué une source en sécurité de l’information qui travaille comme consultante au gouvernement. Des experts soutiennent, néanmoins, que le gouvernement impose parfois des exigences trop pointues pour des mandats qui peuvent facilement être réalisés par des novices. De plus, les salaires offerts sont souvent trop bas pour convaincre les spécialistes de réaliser les mandats affichés dans les appels d’offres.  

 Des Prête-noms 

 Des consultants informatiques qui travaillent à leur compte acceptent de prêter leurs nom et curriculum à des entreprises qui soumissionnent à des contrats publics. Certaines offriront des heures de piges en échange ou effectueront une partie des mandats. D’autres, toutefois, accepteront de simplement avoir été utilisés pour que l’entreprise puisse obtenir le pactole.  

 Un guichet unique? 

 Un groupe de jeunes consultants proposent que le gouvernement du Québec crée un guichet unique de curriculum vitae dédiés aux technologies de l’information (TI), lequel ne serait pas géré par les firmes. 

 Marek Roy, Pierre-Guy Lavoie et Michel Cusin dénonçaient un manque de vérifications et l’aveuglement de l’État dans le milieu des TI. 

 «Ça prend un endroit virtuel au gouvernement où tous les CV des consultants en TI seraient déposés et sécurisés. Lorsqu’un CV est modifié, il est enregistré et il peut facilement être vérifié», explique M. Cusin. 

 Le nom d’un employé novice est lié à un incident de sécurité 

 En plus des CV trafiqués, il serait aussi courant que des entreprises utilisent des novices pour pourvoir des postes, selon nos sources. 

 Une entreprise responsable du plus important contrat en sécurité informatique au gouvernement du Québec a d’ailleurs fait l’objet d’une enquête de sécurité. Elle avait effectué des tests d’intrusion avec l’ordinateur portable d’un novice n’ayant pas les autorisations nécessaires, a appris notre Bureau d’enquête. 

 Grâce à un groupe de sonneurs d’alarme, nous avons pu lever le voile sur cet épisode survenu au Centre de services partagés du Québec (CSPQ). 

 En 2017, Vumetric a décroché le plus gros contrat de sécurité informatique du gouvernement. Elle avait le mandat d’effectuer des tests d’intrusion afin de déceler les failles du système public. 

 L’entreprise a reçu près de 1 million $ pour ce contrat. Elle avait dû se soumettre à une enquête de sécurité. 

 Le contrat contenait des règles très strictes et seuls trois employés nommément identifiés pouvaient procéder aux exercices d’intrusion informatique. 

 En consultant les métadonnées, les responsables des incidents de sécurité au CSPQ ont remarqué qu’une personne qui n’avait pas l’autorisation de réaliser les tests s’était connectée au serveur. 

 Cet employé n’avait pas les compétences ni les formations requises pour effectuer ce travail. Il sortait à peine de l’université. 

 Lorsqu’il s’est rendu compte de l’intrusion, le service de sécurité du CSPQ s’est inquiété qu’une personne non identifiée dans le contrat ait eu accès au réseau gouvernemental et ait pu y faire des simulations de piratage informatique. 

 Vumetric a été convoquée devant les responsables du CSPQ. Son dirigeant, Patrick Chevalier, a alors soutenu que l’ordinateur portable du jeune employé avait été utilisé par mégarde par l’une des trois personnes certifiées. 

 Caire a déjà été visé pour avoir trafiqué son CV 

 Éric Caire avait été accusé en 2009 par ses adversaires d’avoir manipulé les informations inscrites à son CV. Il était alors l’un des candidats principaux lors de la course à la chefferie de l’Action démocratique du Québec (ADQ). 

 Aujourd’hui, il est le ministre responsable de l’informatique du gouvernement caquiste de François Legault. 

 À l’époque, sur le site internet de l’ADQ, M. Caire laissait entendre qu’il détenait une formation universitaire en communications de l’Université Laval, qu’il avait terminée en 1993. 

 Or, il n’avait suivi des cours que durant une seule session, en 1993. C’est Le Journal qui avait relevé à l’époque cette imprécision dans son CV. 

 M. Caire s’était défendu en soutenant qu’un adjoint aurait omis d’ajouter un tiret après le «1993». L’ADQ avait plaidé l’erreur de typographie et indiqué qu’il s’agissait d’un «malentendu». 

 Après avoir admis les faits, M. Caire avait déclaré : «C’est un bac non complété. Il faudrait un jour que je me réinscrive.» 

 Éthique 

 Ses adversaires prétendant à la direction de l’ADQ avaient dénoncé une manœuvre afin de gonfler son parcours académique. 

 Gilles Taillon — qui l’emporta finalement par un cheveu — avait carrément réclamé qu’Éric Caire abandonne la course à la chefferie. 

 Il accusait le député de La Peltrie d’avoir publié des informations mensongères sur son parcours scolaire et ainsi avoir trompé les Québécois. 

 «À un moment où l’éthique et l’intégrité sont plus que jamais des conditions essentielles à respecter, pour toute personne qui envisage d’occuper des postes de responsabilités au niveau public, c’est tolérance zéro», avait affirmé M. Taillon. 

 Disparu 

 Aujourd’hui, dans le curriculum vitae du caquiste qui apparaît sur le site de l’Assemblée nationale, il ne reste aucune trace de l’épisode universitaire en communications de M. Caire. 

 Seule une formation en informatique au Collège Multi-Hexa, complétée en 2001, est mentionnée. Il s’agit d’une attestation d’études collégiales, qu’il avait entamée en 1997.