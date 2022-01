Le gouvernement du Québec et la compagnie Homewood Santé doivent informer, lundi, les travailleurs et leur famille dont les données personnelles ont été compromises par une cyberattaque. Radio-Canada a obtenu un échange de courriels entre le ministère de la Santé et l'entreprise qui révèle l'ampleur de la fuite.

En mars 2021, un dossier contenant 183 gigaoctets de données volées à Homewood Santé a été mis en vente sur le dark web. Mais c'est près d'un an plus tard que les victimes potentielles vont apprendre l'existence de cet événement.

Parmi les renseignements sensibles dérobés, on retrouve le nom, date de naissance, courriel et numéro de téléphone de personnes qui ont eu recours au Programme d'aide aux employés et à leur famille (PAEF).

Les informations concernant le type de service obtenu et le problème traité ont aussi été compromises. Homewood Santé fournit aux organisations du soutien psychologique pour les employés, en cas de stress, de dépression, de problèmes familiaux, conjugaux ou de dépendance.

Homewood Santé, dont le siège est à Guelph, en Ontario, est un des leaders au pays dans le marché des programmes d'aide aux employés. Les fonctionnaires de Revenu Canada l'utilisent, ainsi que ceux des villes de Sorel-Tracy et Saint-Jérôme. L'Université Concordia et l'Université du Québec en Outaouais sont aussi clientes.

De nombreux établissements du réseau de la santé du Québec offrent ces services à leurs employés, ainsi qu'à leurs conjoints et personnes à charge. C'est le cas, par exemple, des Centres de santé et de services sociaux (CISSS) de Laval, des Laurentides ou encore de la Montérégie-Est.

« Selon Homewood Santé, il appert que l’accès non autorisé touche les données d’employés du réseau de la santé et de leur famille. » — Une citation de Robert Maranda, porte-parole du ministère de la Santé et des services sociaux (MSSS) du Québec, en réponse à Radio-Canada

Le recours aux programmes d'aide aux employés PAE a explosé avec la pandémie La pandémie a multiplié les appels à l'aide en santé mentale et les listes d'attente se sont considérablement allongées. Les besoins d'aide psychosociale sont particulièrement criants chez les travailleurs de la santé. Près de la moitié ont ressenti de la détresse depuis mars 2020, selon une étude de l'Institut national de santé publique du Québec (INSPQ).

Dans son courriel au ministère, Homewood Santé rappelle lui avoir rapporté, le 23 juillet, avoir été victime d’un incident de cybersécurité par accès non autorisé à ses systèmes informatiques .

Dès que le ministère de la Santé et des Services sociaux MSSS a été informé de cette situation, il s’est assuré que des actions requises soient posées par l’entreprise et les établissements , assure le porte-parole Robert Maranda.

Selon nos informations, c'est véritablement le 27 janvier 2022, à l'issue d'une enquête menée pour le compte de la compagnie que le ministère de la Santé et des Services sociaux MSSS a pris conscience du sérieux de la situation.

« Homewood Santé est en action pour accompagner les employés visés et leur apporter le soutien requis. Le ministère de la Santé et des Services sociaux MSSS suit la situation de près. » — Une citation de Robert Maranda, porte-parole du ministère de la Santé et des Services sociaux du Québec

Homewood n'a pas dit au ministère de la Santé combien d'employés sont touchés.

Dans le projet de courriel que le ministère de la Santé et des Services sociaux MSSS diffusera au nom de la compagnie, cette dernière tente de se faire rassurante : votre employeur n’a pas et n’aura pas accès à vos renseignements personnels .

Homewood se définit comme « chef de file canadien des services en santé mentale et dépendances » avec un réseau de près de 4000 employés et spécialistes cliniques, partout au pays. Photo : Homewood health inc.

Homewood Santé regrette le malaise que cet incident pourrait causer , mais assure avoir pris des mesures immédiates pour contenir l’incident et sécuriser ses systèmes .

« Homewood a pris soin de veiller à la destruction sécurisée des données auxquelles les malfaiteurs auraient eu accès. » — Une citation de Extrait du courriel de Homewood Santé au ministère de la Santé et des Services sociaux MSSS

Cette assurance que les données ont été détruites a fait sourciller au gouvernement du Québec, puisque les risques de copies persistent, même dans le cas où la victime aurait payé une rançon aux malfaiteurs.

Il n'y a eu aucune preuve de divulgation ou de mauvaise utilisation de ces informations , explique la porte-parole d'Homewood Santé, Drew Burroughs, à Radio-Canada, ce risque est estimé être faible .

L'entreprise a modifié les mots de passe des comptes utilisateurs et administratifs. Elle a aussi effectué des mises à niveau et instauré de meilleures pratiques de protection et de détection .

Les personnes qui ont utilisé les services du Programme d'aide aux employés et à leur famille PAEF de Homewood Santé et qui souhaitent savoir si elles ont été touchées pourront accéder à une ligne d'information confidentielle ou remplir un formulaire en ligne confidentiel.

Une protection de l'identité et du crédit sera aussi offerte à toute personne dont les renseignements ont été touchés.