Cyberattaque de 2020 en Saskatchewan : eHealth n’a pas su détecter la menace à temps

Le commissaire à l'information et à la vie privée de la Saskatchewan affirme que eHealth qui héberge les données médicales personnelles des patients de la province a été incapable de déterminer, à deux occasions, qu’une cyberattaque était en cours sur ses serveurs au début de l’année 2020.

Ron Kruzeniski a rendu vendredi ses conclusions après avoir enquêté sur la fraude à eHealth de janvier dernier. Lors de ses investigations, le bureau du commissaire a découvert que eHealth et l’Autorité de la santé de la Saskatchewan avaient eu l’occasion, à plusieurs reprises, de prévenir la menace de cyberattaque.

Le commissaire a constaté que eHealth n'a pas réussi à enquêter de manière approfondie sur deux premières menaces qui auraient pu empêcher l'extraction malveillante des données qui a suivi, peut-on lire dans le communiqué du bureau du commissaire. Il a également déterminé que l’Autorité de la Santé de la Saskatchewan et le ministère de la Santé ont échoué dans leurs efforts de prévention [...].

Il est tout à fait raisonnable que chaque citoyen exige le plus haut niveau de sécurité pour ses informations de santé, accepter moins est irresponsable.

Le 20 décembre 2019, un employé de l’Autorité de la santé a ouvert une pièce jointe suspecte dans un courriel et un logiciel malveillant s'est répandu dans tout le système informatique utilisé par le gouvernement de la Saskatchewan.

Plus de 550 000 dossiers de patients ont été exposés à la cyberattaque le 5 janvier 2020. Les autorités provinciales ont tenté de déterminer si ces données avaient été volées ou non, sans succès.

Le commissaire conclut aussi que l’employé à l’origine de la brèche de sécurité n’a pas reçu de l’Autorité de la santé la formation suffisante pour utiliser les technologies d'informations.

Repenser le système

En raison de la nature sensible des données recueillies par le système de santé saskatchewanais, le commissaire à l’information recommande, entre autres, que eHealth fasse une révision de l’ensemble de ses protocoles de sécurité informatique, dans le but de déterminer la menace le plus tôt possible.

De plus, Ron Kruzeniski demande que eHealth et l’Autorité de la santé de la Saskatchewan communiquent mieux lorsqu'un événement de la sorte se produit, au travers de communiqués de presse ou encore de publicité dans les journaux et sur les réseaux sociaux.

Il requiert également que les organismes concernés fournissent une protection contre le vol d'identité aux personnes concernées pendant 5 ans, notamment une surveillance des cotes de crédit.

Selon le commissaire, eHealth, le ministère de la Santé et l'Autorité de la santé ont déjà entrepris une révision de leur système de protection des données.

Le gouvernement répond

Des critiques auxquelles le gouvernement a répondu à travers un communiqué de presse publié vendredi après-midi.

Il y écrit notamment que les conclusions du commissaire sont profondément troublantes et qu’une série d’actions immédiates et à venir seront mises en place pour rectifier la situation.

Les Saskatchewanais s’attendent à ce que leurs données personnelles de santé soient protégées, peut-on lire dans une déclaration du ministre de la Santé, Paul Merriman. Ces attentes n’ont pas été honorées lorsque le système de eHealth a été piraté en décembre 2020.

Pour répondre aux préoccupations émises dans le rapport au sujet de la communication avec le public lors d’un pareil incident, Paul Merriman a demandé une révision du processus décisionnel au sein du ministère et de l’Autorité de la santé afin que le public soit dorénavant informé plus rapidement.

Le ministre de la Santé annonce également que des actions seront bientôt prises en ce qui a trait à la recommandation pour un examen indépendant de la gouvernance, de la direction et des opérations au sein de eHealth.

Le gouvernement affirme qu’il répondra à chacune des 25 recommandations du rapport au cours des 30 prochains jours.