Cyberattaque à T.-N.-L. : la majorité des Terre-Neuviens ont été touchés
Le gouvernement de TerreNeuve-et-Labrador aurait brisé la loi en ne pas proté‐ geant suffisamment les données personnelles vo‐ lées lors de la cyberattaque qui a paralysé son système de santé en 2021.
C'est ce que révèle un nou‐ veau rapport du Bureau du commissaire à l'information et la protection de la vie pri‐ vée, qui indique aussi que le public n'a pas été informé as‐ sez rapidement de l'ampleur de l'attaque.
Selon l'enquête, les don‐ nées de la majorité des ci‐ toyens de Terre-Neve-et-La‐ brador, une province de 530 000 habitants, ont été vo‐ lées par le réseau criminel
Hive pendant l'attaque par rançongiciel. Le gouverne‐ ment provincial avait indiqué en décembre dernier que l'at‐ taque avait fait seulement 58 000 victimes.
L'enquêter Sean Murray af‐ firme qu'il est impossible de calculer le nombre de vic‐ times, mais qu'il pourrait bien inclure des travailleurs ayant oeuvré au sein du système de santé depuis 1993, ainsi que tout le monde ayant subi un test de dépistage à la COVID19. Environ 200 gigaoctets de données ont été volés. Les in‐ formations n'étaient pas chif‐ frées.
Ces données hautement sensibles comprennent les in‐ formations bancaires et le nu‐ méro d'assurance sociale des patients et des employés, ain‐ si que leur adresse et leur date de naissance.
Manque de préparatifs
En octobre et novembre 2021, lors de l'attaque, les tra‐ vailleurs de la santé ont dû re‐ venir au papier ou aux ré‐ seaux informatiques locaux. Des milliers de chirurgies ont été annulées et la chimiothé‐ rapie a été brièvement inter‐ rompue.
Cependant, le rapport in‐ dique que ces perturbations auraient pu être évitées. Le système de santé était mal préparé pour l'attaque, qui était prévisible, voire presque inévitable, selon les enquê‐ teurs.
La sécurité de notre sys‐ tème de santé, au moment de l'attaque, n'était pas assez bien protégée et ne respectait pas les normes internatio‐ nales en cybersécurité recon‐ nues par industrie, écrit Sean Murray.
Comme Radio-Canada l'a rapporté en mai dernier, une note d'information soumise au gouvernement en 2020 avait prévenu des risques graves d'une cyberat‐ taque et des impacts impor‐ tants qu'une telle attaque en‐ traînerait.
Malgré cet avertissement, rédigé par le Newfoundland and Labrador Centre for Health Information (NLCHI), soit l'agence responsable de la sécurité des systèmes infor‐
matiques du système de san‐ té, la cybersécurité n'a pas été suffisamment renforcée. Sean Murray n'a pas donné d'exemple concret de lacunes de sécurité.
Sean Murray explique éga‐ lement que le gouvernement aurait brisé la loi en gardant pendant des décennies et sans raison légitime des don‐ nées telles que des numéros d'assurance sociale.
Il aurait aussi brisé la loi en ne divulguant pas dans un dé‐ lai raisonnable des informa‐ tions pertinentes sur l'at‐ taque. Selon Sean Murray, le gouvernement avait confirmé dans les jours suivant l'inci‐ dent qu'il s'agissait d'une at‐ taque par rançongiciel et que des données avaient été vo‐ lées, mais avait hésité de rendre ces informations pu‐ bliques.
Le ministre de la Justice, John Hogan, a enfin confirmé en mars que le groupe Hive avait eu accès aux systèmes informatiques du gouverne‐ ment grâce à un rançongiciel, en utilisant les données du compte d’un utilisateur légi‐ time.
On ignore toujours la fa‐ çon dont le groupe Hive a eu accès à ces données. Un ran‐ çongiciel est un type de mali‐ ciel qui bloque l’accès aux sys‐ tèmes jusqu’à ce que l’utilisa‐ teur verse une somme d’ar‐ gent.
John Hogan refuse de dire si la province a payé la rançon exigée par le réseau criminel Hive, disant suivre les conseils des services juridiques.
Des progrès réalisés de‐ puis l'attaque
Si le rapport de 115 pages détaille 34 conclusions sur les lacunes de NLCHI, des régies de la santé et du ministère de la Santé, il ne compte que six recommandations. Selon Sean Murray, depuis la cybe‐ rattaque, de nombreuses nouvelles mesures ont été prises pour renforcer la sécu‐ rité des systèmes et éviter une nouvelle attaque.
Depuis la cyberattaque, les quatre régies régionales de santé de Terre-Neuve-et-La‐ brador ont été fusionnées en un organisme provincial. Se‐ lon le rapport, la Régie provin‐ ciale de santé devrait conti‐ nuer à réviser ses systèmes de cybersécurité, effectuer ré‐ gulièrement des vérifications de ces systèmes et créer un nouveau poste de directeur de la protection de la vie pri‐ vée. Ce dernier s'assurerait que les politiques en matière de cybersécurité et de protec‐ tion de la vie privée soient respectées.
En mai dernier, l'ex-mi‐ nistre de la Santé, John Hag‐ gie, a dit que cyberattaque avait coûté environ 16 mil‐ lions de dollars au gouverne‐ ment provincial. Ce dernier avait dépensé au moins 5 mil‐ lions sur des services de sur‐ veillance du crédit pour les employés et les patients.