•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

De sérieuses lacunes ont mené à une fuite de données personnelles en Nouvelle-Écosse

Lignes de code sur un écran d'ordinateur.
Un jeune accusé à la suite de l'incident a expliqué qu'il avait suffi de modifier une seule ligne de code pour télécharger des milliers de documents du site web du gouvernement. Photo: iStock / scanrail
Pierre-Philippe LeBlanc

Le vérificateur général de la Nouvelle-Écosse et la commissaire à l'information et à la protection de la vie privée lancent de sévères critiques au gouvernement provincial pour des lacunes qui ont permis la fuite de données personnelles, l'an dernier.

Le vérificateur général, Michael Pickup, et la commissaire à l’information et à la protection de la vie privée, Catherine Tully, ont publié mardi matin leur rapport respectif sur l’incident.

Le ministère des Services internes a omis de considérer adéquatement les risques évidents, et il a mal géré la mise en oeuvre du site du Commissariat à l’information et à la protection de la vie privée, souligne Michael Pickup.

La commissaire Catherine Tully reproche au gouvernement un sérieux manquement à son obligation de diligence.

Les fuites se sont produites du 27 février au 3 avril 2018, précise le Commissariat. Deux personnes ont téléchargé près de 7000 fichiers contenant des données personnelles, en 12 occasions. Plus de 600 fichiers n’ont toujours pas été récupérés.

L'intrusion dans le site web qui a eu lieu en avril est un exemple très clair de ce qui peut se produire lorsque le gouvernement ne protège pas les renseignements personnels que les gens de la Nouvelle-Écosse lui confient. En fait, la divulgation inappropriée de renseignements personnels n'est pas surprenante compte tenu de la portée des défaillances soulevées dans le cadre de la vérification, affirme Michael Pickup.

Les pratiques de gestion des risques et de gestion de projets du ministère étaient entièrement inadéquates, ajoute le vérificateur général, compte tenu du fait que la Nouvelle-Écosse devait être la première autorité du monde à mettre simultanément en oeuvre ce site et un logiciel produit par une tierce partie.

Michael Pickup donne une conférence de presse Le vérificateur général Michael Pickup a publié un rapport spécial de vérification opérationnelle. Le but était d'évaluer la mise en oeuvre du nouveau site Web du gouvernement et du système qui traite les demandes d'accès à l'information. Photo : CBC/Robert Short

La cause directe de la fuite était un défaut de conception du site, conclut la commissaire. Le défaut était une vulnérabilité bien connue et prévisible que le ministère des Services internes n’avait pas détectée avant de rendre le site public. La fuite des renseignements personnels aurait donc pu être prévenue, selon Mme Tully, et elle s’est produite à cause d’un sérieux manque de diligence lors du déploiement d’un nouvel outil technologique.

Prendre le temps d’évaluer avec diligence un outil à toutes les étapes du projet avant son déploiement est fondamental pour assurer que les renseignements personnels détenus par le gouvernement sont respectés et protégés, estime la commissaire Tully.

Le vérificateur général se préoccupe aussi du stockage de données qui échappent au contrôle du gouvernement. Il dit que l’utilisation d’un service de nuage signifie que les données ne sont pas protégées par le réseau informatique gouvernemental.

Catherine Tully en entrevueLe site web a été rendu public alors qu'il comptait plus d'une vingtaine de vulnérabilités, dont une qui a permis la fuite de renseignements personnels, explique la commissaire à l’information et à la protection de la vie privée, Catherine Tully, Photo : CBC/Steve Lawrence

Michael Pickup et Catherine Tully ont soumis au gouvernement une série de recommandations pour améliorer la sécurité, la gestion et le testage des sites Internet et pour prévenir tout autre incident du genre. Le gouvernement a accepté toutes leurs recommandations.

Dans sa réponse au rapport du vérificateur général, le gouvernement reconnaît qu'il n'a pas réussi à protéger les renseignements personnels de centaines de citoyens.

Un jeune homme qui n’avait pas l’intention de mal agir

Les policiers ont trouvé l’an dernier l’un des auteurs de la fuite de renseignements personnels, un jeune homme de 19 ans.

Ils envisageaient de l’accuser d’usage non autorisé d’un ordinateur. Toute personne reconnue coupable de cette accusation est passible d’une peine d’emprisonnement de 10 ans.

Trois semaines plus tard, les enquêteurs ont toutefois annoncé que le jeune homme ne serait pas accusé. Ils ont conclu qu'il n’avait pas l’intention de commettre un crime.

Avec des renseignements de CBC

Nouvelle-Écosse

Politique provinciale