•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Victime d’hameçonnage, la Ville d'Ottawa doit revoir ses mesures de cybersécurité, dit le VG

Le logo de la Ville d'Ottawa sur un édifice.

L'hôtel de ville d'Ottawa, rue Laurier (archives).

Photo : Radio-Canada / Danny Globerman

Radio-Canada

Ciblée par des courriels d'hameçonnage, la trésorière de la Ville d'Ottawa a versé près de 130 000 $ en fonds publics à un fraudeur, a révélé le vérificateur général de la Municipalité. Ken Hughes recommande à l'administration municipale d'améliorer ses pratiques en matière de cybersécurité pour éviter une telle situation à l'avenir.

Cet incident met en lumière de dangereuses lacunes de contrôle, qu’il faut corriger immédiatement, dans les politiques et les procédures de la Ville , a écrit M. Hughes, dans son rapport annuel dévoilé lundi.

La supercherie au cœur de cette enquête, surnommée fraude du PDG par l’administration municipale, s’est déroulée entre le printemps et la fin de l’été 2018.

Durant cette période, la trésorière municipale, Marian Simulik, a reçu des courriels demandant des virements de fonds de la part de personnes se faisant passer d’abord pour la directrice générale de la Bibliothèque publique d’Ottawa, Danielle McDonald, puis pour le directeur municipal, Steve Kanellakos.

Une femme assise devant un micro dans une salle de réunion.

La trésorière de la Ville d'Ottawa, Marian Simulik, témoigne de la fraude dont elle a été victime.

Photo : CBC/Kate Porter

Mme Simulik a mordu à l’hameçon lorsque le fraudeur se faisant passer pour M. Kanellakos lui a demandé un virement de près de 98 000 $ US, soit environ 130 000 $ en devise canadienne.

Le stratagème découvert avec l’aide du Secret Service des États-Unis

La trésorière s’est rendu compte de l’arnaque après avoir interrogé le véritable directeur municipal au sujet de cette demande, en plus d’une autre sollicitation pour un virement de 150 000 $ US (plus de 205 000 $ canadiens).

Le compte dans lequel l’argent a été déposé était surveillé de prêt par le Secret Service américain. Il a été rapidement gelé dans la foulée de cette affaire.

Mise à jour :

Les autorités avaient initialement laissé entendre que l'auteur de la fraude contre la Ville d'Ottawa avait été arrêté aux États-Unis. Or, le Service de police d'Ottawa a indiqué, mercredi, que personne n'a encore été arrêté directement en lien avec cette affaire.

La Ville d'Ottawa collabore avec les autorités au sud de la frontière pour remettre la main sur une partie des fonds, puisque seuls 88 000 $ US versés au fraudeur par différentes victimes — dont Mme Simulik — ont été confisqués.

Dans la foulée des conclusions du vérificateur général Hughes, la Ville d’Ottawa a indiqué dans un communiqué qu’elle a élaboré un programme de sensibilisation sur la cybersécurité obligatoire pour tous ses employés.

La Municipalité a également souligné que les Comptes créditeurs (CC) et l’Unité des services financiers (USF) auront la responsabilité partagée d’examiner et d’approuver toutes les demandes de virement à l’avenir.

La sécurité physique aussi critiquée par le VG

M. Hughes s’est également penché sur la gestion des risques de la sécurité matérielle dans les immeubles municipaux. Si la Ville répond à la plupart des bonnes pratiques dans ce domaine, le vérificateur général a relevé certaines lacunes importantes. C’est notamment le cas pour l’annulation des cartes d’accès distribuées à différentes personnes.

Parmi les cartes d’accès prélevées dans l’échantillon pour les entrepreneurs et les bénévoles, aucune ne portait de date d’expiration programmée. Souvent, les cartes d’accès des travailleurs saisonniers et des étudiants stagiaires ne sont annulées que des mois après leur résiliation, a noté M. Hughes dans son rapport.

Le vérificateur général a soumis 17 recommandations à ce chapitre, qui ont toutes été adoptées par la Ville. Notamment, la Municipalité devrait se doter d’un outil efficace pour enregistrer le nom des personnes autorisées, les dates et les heures d’accès et la durée de validité des droits d’accès.

Avec les informations de CBC

Ottawa-Gatineau

Cybersécurité