•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

La STO défend sa gestion de crise, trois semaines après la cyberattaque la visant

Des mains tapent sur un clavier d'ordinateur.

L'attaque informatique est survenue le 4 septembre, il y a trois semaines (archives).

Photo : iStock

La Société de transport de l’Outaouais (STO) s’est défendue, dans un premier point de presse depuis l'attaque de type rançongiciel dont elle a été victime, il y a trois semaines, d’avoir manqué de communication sur ce qu’elle faisait pour répondre à la situation.

Compte tenu de la complexité de la situation, vous comprendrez qu’il était impératif de faire preuve de prudence dans nos communications pour s’assurer de transmettre des informations exactes sans pour autant nuire aux enquêtes, a déclaré le directeur général de la STO, Patrick Leclerc, lundi.

Il a fait valoir que son organisation avait émis, dès le premier jour, une communication publique et avisé les usagers sur les réseaux sociaux. Il a ajouté qu’au 5e jour, trois communications avaient été faites et une page web sur le sujet avait été mise en place.

Un homme assis derrière un micro.

Le directeur général de la STO, Patrick Leclerc

Photo : Radio-Canada / Felix Desroches

Il a aussi insisté sur le fait qu’il est difficile pour l’organisation de valider certaines informations et que la STO voulait éviter d’avancer certains éléments de réponse pour ensuite devoir rectifier le tir. La société n'a pas accès à une foule de données qui ont été cryptées par les pirates informatiques, dont des copies de sauvegarde numériques.

Quand vos systèmes sont encryptés et que vous n’avez pas accès aux backups, confirmer la validité de l’information devient extrêmement difficile.

Une citation de :Patrick Leclerc, directeur général de la STO

M. Leclerc a aussi soutenu que des experts ont conseillé la prudence dans toute communication puisque, dans les jours suivant une attaque informatique, l'organisation déjà visée est d'autant plus susceptible de subir d'autres offensives. Par ailleurs, le directeur général a précisé que la STO a refusé de payer la rançon réclamée par les malfaiteurs en échange de l'accès à ses données.

Certaines informations de client potentiellement exposées

Les pirates informatiques ont aussi, lors de l'attaque du 4 septembre, exfiltré des données vers le web caché. Selon les informations divulguées lundi, des données contenues dans les listes de clients pourraient avoir été compromises. Ces banques d'informations ne contiennent toutefois pas d’informations sensibles telles que des numéros d’assurance sociale et des données bancaires, a souligné Patrick Leclerc.

La présidente du conseil d’administration de la STO, Myriam Nadeau, a assuré que toutes les ressources nécessaires seraient dégagées pour permettre une protection des données à court terme, mais aussi à long terme. L’enquête en cours sert [...] à déterminer l’ampleur de l’attaque et ce qu’on a à améliorer [...] C’est certain qu’on veut s’assurer d’être au plus haut niveau des plus hauts standards, a-t-elle dit au sujet de l'investigation lancée en collaboration avec la firme KPMG.

Myriam Nadeau derrière un micro.

La présidente du conseil d’administration de la STO, Myriam Nadeau

Photo : Radio-Canada / Felix Desroches

Les banques de données sur les clients de la STO contiennent, de façon générale, des noms, prénoms et adresses postales. Parfois, le sexe, la date de naissance et l’adresse courriel ont aussi été précisés par les clients, selon les indications fournies en point de presse.

Par ailleurs, les dirigeants de l'organisme public ont spécifié que ce sont sept de ses employés dont des informations sensibles ont été mises à risque.

Travail colossal et critiques qui résonnent encore

Des experts continuent de croire que la STO aurait pu donner plus d'information bien avant lundi.

Normand Bourgault, professeur honoraire à l'Université du Québec en Outaouais (UQO) qui se spécialise en marketing et relations publiques, a fait remarquer que le temps a filé depuis l'attaque et les premières communications de la STO à ce sujet.

Vingt-trois jours, c’est vraiment beaucoup. Entre-temps, les gens qui risquent d’être victimes de cette crise-là doivent être informés pour qu’ils puissent prendre des mesures ou surveiller pour voir si leurs informations personnelles elles sont utilisées à mauvais escient.

Selon l’expert en cybersécurité, Steve Waterhouse, cette attaque aurait commencé par une négligence de la sécurité des systèmes d’information. Il y a des automatismes qui, 24 heures sur 24, 7 jours sur 7, scrutent Internet et à ce moment-là découvrent un système qui présente une faille. [Ils vont ensuite] s’immiscer dans la brèche, et après coup découvrir quelle information est intéressante chez ce parti-là, a commenté l’ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke, en entrevue au Téléjournal Ottawa-Gatineau.

Les pirates pourraient demander deux rançons, l’une pour retrouver plein accès aux serveurs informatiques, et l’autre serait une surenchère qui laisserait miroiter que les données ne seront pas divulguées, a affirmé M. Waterhouse. De toute évidence, ils n'ont pas été détectés rapidement, et ils ont eu le temps, donc, de collecter l'information névralgique qui peut servir en deuxième demande de rançon, a-t-il ajouté.

Ce type d’attaque informatique peut augmenter le risque de fraude par fausse identité. Les gens doivent porter attention aux transactions frauduleuses qui pourraient se déclarer, et regarder davantage [leur] facturation. [...] J’espère que la STO pourra aider sa base d’usagers à avoir une surveillance de leur dossier de crédit, tel que les gens l’ont eue avec Desjardins, a conseillé M. Waterhouse.

Quoi qu'il en soit, la STO estime qu'il lui faudra des mois de travail colossal pour reconstituer ses systèmes affligés. C’est comme s’il y avait eu une explosion dans un magasin de porcelaine, qu’on doit reconstituer toutes les pièces, mais qu’on n’a pas de photo du magasin avant l’attaque, a résumé Patrick Leclerc.

Ainsi, on ne savait pas, lundi, quand les usagers auraient de nouveau accès à des services mis sur pause, comme le rechargement en ligne de la carte à puce.

Avec des informations d'Emmanuelle Poisson et de Samuel Blais-Gauthier

Commentaires fermés

L’espace commentaires est fermé. Considérant la nature sensible ou légale de certains contenus, nous nous réservons le droit de désactiver les commentaires. Vous pouvez consulter nos conditions d’utilisation.