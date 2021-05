Les Forces armées canadiennes admettent que les tonnes d’images médicales de leurs membres qui sont « inaccessibles » depuis avril ont peut-être été perdues pour de bon. Des spécialistes en cybersécurité jugent la situation anormale et estiment que l’armée doit faire mieux.

Ce n’est pas normal qu’on en arrive là , analyse le chef de la cybersécurité chez Vygl.ca, Jean-Philippe Décarie-Mathieu.

Il y a peut-être eu négligence dans l’entretien des systèmes , avance Steve Waterhouse, ancien officier de sécurité informatique pour le ministère de la Défense nationale.

Tous deux ont pris connaissance des explications que les Forces armées ont fournies à Radio-Canada concernant les problèmes qui affectent le système d’archivage et de transmission d’images de l’armée (surnommé PACS, pour Picture Archiving and Communication System, en anglais) depuis bientôt deux mois.

Le serveur abritant le PACSPicture Archiving and Communication System a connu une défaillance le 9 avril dernier, indiquent les Forces dans un courriel. Des dizaines, voire des centaines de milliers de radiographies, ultrasons et IRMimagerie par résonance magnétique appartenant aux membres des Forces armées depuis le milieu des années 2000 étaient alors introuvables.

Services partagés Canada a donc dû reconstruire complètement le PACSPicture Archiving and Communication System en utilisant les copies de sauvegarde prévues en cas d’incident. Or, l’agence fédérale s’est aperçue que les services de sauvegarde avaient également mal fonctionné .

Aucune donnée n’avait été sauvegardée avant la reconstruction du système. Une citation de :Extrait d'un courriel des Forces armées canadiennes

Échec en cascades

C’est ce qui a causé la perte de certaines images médicales archivées , confirment les Forces armées, tout en réaffirmant que des efforts sont déployés pour les récupérer.

L’utilisation du terme perte est une première. Jusqu’ici, les Forces parlaient simplement de données inaccessibles . Le nombre exact d’images médicales perdues n’est pas disponible pour le moment , ajoute-t-on.

Pour l’expert en cybersécurité Jean-Philippe Décarie-Mathieu, on est devant une espèce d’échec en cascades : le serveur a d’abord connu une défaillance, puis les copies de sauvegarde se sont révélées inutilisables.

Le spécialiste dit avoir souvent vu des organisations, publiques comme privées, qui ne testent pas leurs copies de sauvegarde. C’est plus commun qu’on pourrait le croire , confirme-t-il, tout en condamnant ce manque de rigueur.

Est-ce que c'est acceptable? Non, surtout pas [...] pour les Forces armées canadiennes, qui sont censées être autosuffisantes et être à l'épreuve de ce genre de problème. Une citation de :Jean-Philippe Décarie-Mathieu, chef de la cybersécurité chez Vygl.ca

Jean-Philippe Décarie-Mathieu, chef de la cybersécurité chez Vygl.ca Photo : Radio-Canada

Steve Waterhouse abonde dans le même sens, rappelant que la sécurité informatique repose sur trois piliers : la confidentialité, l’intégrité et la disponibilité des données .

Dans le cas du système d'imagerie des Forces canadiennes, on vient d'attaquer un des piliers, qui est la disponibilité. Lorsqu'on a besoin de consulter l'information et qu'elle n'est pas là, ça affecte un de ces trois principes de base , dit-il.

Les organisations croient à tort qu’un serveur informatique protégé et bien alimenté en électricité est à l’abri des problèmes, soutient M. Waterhouse.

Malheureusement, ce ne sont pas des systèmes parfaits et il y a fort à parier qu'il y aura des défaillances. Une citation de :Steve Waterhouse, ancien officiel de sécurité informatique au ministère de la Défense nationale

Steve Waterhouse est expert en cybersécurité et chargé de cours à l’Université de Sherbrooke. Photo : Radio-Canada

C’est pourquoi les menaces et les vulnérabilités doivent être surveillées sur une base quotidienne , selon M. Waterhouse, tant dans l’armée que dans les organisations privées.

Examens repris

Les Forces armées confirment que des vérifications ont été entreprises conjointement par le ministère de la Défense et Services partagés Canada pour s’assurer que ses autres systèmes informatiques sont bien protégés.

Pendant ce temps, des membres des Forces armées ayant passé des examens d’imagerie dans les dernières semaines doivent les reprendre puisque les fichiers sont introuvables et les radiologistes n’ont pas pu les analyser.

En date du 13 mai, 45 examens sur un total de 600 avaient été repris, et ces chiffres sont suivis sur une base hebdomadaire , précisent les Forces armées canadiennes.

On ne sait pas encore combien de membres des Forces armées canadiennes ont été touchés. Toutefois, à mesure que notre enquête progresse, tous les patients concernés seront contactés [...] Une citation de :Extrait d'un courriel des Forces armées canadiennes

Les Forces armées tiennent aussi à rassurer les vétérans qui s’inquiétaient de la disparition de leurs images médicales : leurs dossiers médicaux, qui se trouvent dans un autre système que le PACSPicture Archiving and Communication System , n’ont pas été compromis.