•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Une mise en garde émise un an avant la cyberattaque à T.-N.-L.

Des mains tapent sur un clavier d'ordinateur.

En octobre 2021, une cyberattaque a entraîné l’annulation de milliers d'opérations et d’examens à Terre-Neuve-et-Labrador. Un document rédigé un an avant l'incident avait détaillé plusieurs failles du système de sécurité.

Photo : iStock

Une année avant la cyberattaque qui a immobilisé le système de santé de Terre-Neuve-et-Labrador, une firme d’experts en sécurité soulevait des craintes liées à la protection des systèmes informatiques de la plus importante régie de santé de la province.

Dans un document soumis à la Régie de santé de l’Est en septembre 2020, la firme ottavienne Canada-Israel Technology Solutions a dressé la liste de nombreuses vulnérabilités, problèmes de sécurité et problèmes de conformité qui devaient être réglés afin d’éviter des fuites de données et des pannes informatiques.

Le système provincial subit possiblement des atteintes à sa cybersécurité sans qu'il soit possible d'en être informé ou d'y réagir, en raison du manque de personnel qualifié, de l'absence de processus établis et de technologies appropriées pour faire face aux inévitables menaces de cybersécurité, peut-on lire dans le plan visant à établir un centre d’excellence sur la cybersécurité à Saint-Jean.

En octobre 2021, une cyberattaque a entraîné l’annulation de milliers d'opérations et d’examens, dont la chimiothérapie et les interventions cardiaques. Une fuite de données a aussi fait des milliers de victimes. Les pirates ont eu accès à plus de 200 000 fichiers.

Ron Johnson, vice-président responsable de l’innovation de la Régie de santé de l’Est, indique que certains problèmes évoqués dans le rapport ont été réglés depuis, dont la mise à jour de plusieurs systèmes d'exploitation. Il n’a pas donné plus de détails.

Ces évaluations auraient donné lieu à des actions, mais elles étaient effectuées pour préparer le terrain pour le projet plus large [le centre d’excellence], explique M. Johnson, en ajoutant que ce projet est en cours et fera de Terre-Neuve-et-Labrador un chef de file en cybersécurité.

Ron Johnson.

Ron Johnson est vice-président responsable de l’innovation de la Régie de santé de l’Est.

Photo : Radio-Canada / Peter Cowan

M. Johnson n'a pas voulu faire d'autres commentaires sur la cyberattaque et les mesures prises pour protéger la Régie de santé de l’Est, qui englobe plus de 300 000 patients.

Un signal d'alarme, selon des experts

Radio-Canada/CBC a demandé à sept experts en cybersécurité de lire le plan de Canada-Israel Technology Solutions et de nous faire part de leurs impressions quant aux vulnérabilités du système.

Je pense qu’il peut absolument être considéré comme un signal d’alarme, affirme Simon Woodworth, directeur d’un centre de recherche sur les systèmes d’informations médicales à l’University College Cork, en Irlande. À cet égard, il est important de noter que la cyberattaque a eu lieu un an après cet avertissement.

Selon le document, la Régie de santé de l’Est n’avait pas d’inventaire détaillé de ses actifs, c'est-à-dire une base de données qui dresse la liste des ressources matérielles et logicielles qu’il faut surveiller et protéger.

La raison de l’avoir, c'est qu'on ne peut pas vraiment sécuriser nos systèmes si on ne sait pas ce qu'on a, explique Sam Harper, journaliste à Pivot et collaborateur à Crypto Québec.

Trop peu d’analystes

Le rapport indique que les systèmes informatiques étaient construits selon les meilleures pratiques, mais précise que la régie de santé n’avait pas suffisamment d’analystes de sécurité pour surveiller tout le réseau. En conséquence, elle ne surveillait qu’une fraction de ses systèmes les plus importants.

Si vous n’avez pas le personnel pour entretenir le système, c’est un peu comme avoir une voiture où on ne fait jamais la vidange, et où on ne remplace jamais les lumières et les pneus, explique Iva Tasheva, cofondatrice de CyEn, une firme européenne de consultants en cybersécurité.

Comme Ron Johnson l’a reconnu, le document indique aussi que la Régie de santé de l’Est utilisait des technologies datées qui devaient être mises à jour ou supprimées carrément.

Évaluation d'un hôpital

Le plan évoque également une évaluation des systèmes informatiques de l’hôpital de Carbonear, dans la péninsule d’Avalon. Cette évaluation, réalisée par la firme israélienne CyberMDX, n’a pas été fournie à Radio-Canada pour des raisons de confidentialité. Mais le plan résume ses conclusions.

Au cours de la brève période pendant laquelle le système a fonctionné, les données de CyberMDX ont confirmé qu'il existe de nombreuses vulnérabilités, des problèmes de sécurité et des problèmes de conformité à résoudre au sein du réseau [du Régie de la santé de l’Est], peut-on lire dans le rapport.

Sam Harper souligne que CyberMDX avait effectué un scan passif.

C'est-à-dire que sans qu'il y ait quelqu'un qui essaye activement de pirater le système, ils ont utilisé différents scanners pour essayer de voir s'il y avait des vulnérabilités, explique-t-il. Avec juste un scan passif, il semble en avoir trouvé beaucoup.

CyberMDX, qui a récemment été acheté par une autre entreprise, a refusé de commenter le travail qu’il a effectué pour la régie de santé.

Radio-Canada/CBC a tenté, sans succès, d'entrer en contact avec les dirigeants de Canada-Israel Technology Solutions.

Un rapport qui aurait pu être produit dans n'importe quel autre pays

Plusieurs experts consultés par Radio-Canada/CBC ont souligné que le plan a été rédigé par une firme privée qui visait à construire un centre d’excellence qui coûterait quelque 28 millions de dollars.

L'objectif est de vendre des solutions de sécurité et je n'ai comme information que celles décrites dans le rapport, souligne Solange Ghernaouti, professeur de cybersécurité à l’Université de Lausanne, en Suisse.

Cependant, Mme Ghernaouti souligne qu’en Amérique du Nord, comme en Europe, il y a un sous-investissement dans toutes les structures hospitalières ou les systèmes de santé.

Ce rapport, qui a été produit pour le Canada, aurait pu être produit dans n'importe quel autre pays, affirme-t-elle.

Le ministère provincial de la Santé a redirigé nos questions vers la Régie de santé de l’Est. Depuis l’automne dernier, plusieurs ministres refusent systématiquement de répondre aux questions sur la cyberattaque et les mesures prises pour protéger le système de santé à l'avenir.

Dans une déclaration, le ministère de la Santé et des Services communautaires dit avoir pris un large éventail de mesures pour contenir la brèche afin de s'assurer qu'elle ne causera pas d'autres problèmes au système de santé.

Nous continuons de surveiller et d'examiner nos systèmes informatiques et nos protocoles de cybersécurité à mesure que les technologies changent et évoluent, en effectuant des mises à jour si nécessaire.

Avec les informations de Rob Antle et de Peter Cowan, de CBC

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !