Une mise en garde émise un an avant la cyberattaque à T.-N.-L.

Une année avant la cyberattaque qui a immobilisé le système de santé de Terre-Neuve-et-Labrador, une firme d’experts en sécurité soulevait des craintes liées à la protection des systèmes informatiques de la plus importante régie de santé de la province.

Dans un document soumis à la Régie de santé de l’Est en septembre 2020, la firme ottavienne Canada-Israel Technology Solutions a dressé la liste de nombreuses vulnérabilités, problèmes de sécurité et problèmes de conformité qui devaient être réglés afin d’éviter des brèches de données et des pannes informatiques.

Le système provincial subit possiblement des atteintes à sa cybersécurité sans qu'il soit possible d'en être informé ou d'y réagir, en raison du manque de personnel qualifié, de l'absence de processus établis et de technologies appropriées pour faire face aux inévitables menaces de cybersécurité, peut-on lire dans le plan d’affaires visant à établir un centre d’excellence sur la cybersécurité à Saint-Jean.

En octobre 2021, une cyberattaque a entraîné l’annulation de milliers de chirurgies et d’examens, dont la chimiothérapie et les interventions cardiaques. Une brèche de données a aussi fait des milliers de victimes. Les pirates ont eu accès à plus de 200 000 fichiers.

Ron Johnson, vice-président responsable de l’innovation de la Régie de santé de l’Est, indique que certains problèmes évoqués dans le rapport ont été réglés depuis, dont la mise à jour de plusieurs systèmes d'exploitation. Il n’a pas donné plus de détails.

Ces évaluations auraient donné lieu à des actions, mais elles étaient effectuées pour préparer le terrain pour le projet plus large [le centre d’excellence], explique M. Johnson, en ajoutant que ce projet est en cours et fera de Terre-Neuve-et-Labrador un chef de file en cybersécurité.

M. Johnson n'a pas voulu faire d'autres commentaires sur la cyberattaque et les mesures prises pour protéger la Régie de santé de l’Est, qui englobe plus de 300 000 patients.

Radio-Canada/CBC a demandé à sept experts en cybersécurité de lire le plan d’affaires de Canada-Israel Technology Solutions et de nous faire part de leurs impressions quant aux vulnérabilités du système.

Je pense qu’il peut absolument être considéré comme un signal d’alarme, affirme Simon Woodworth, directeur d’un centre de recherche sur les systèmes d’informations médicales à l’University College Cork, en Irlande. À cet égard, il est important de noter que la cyberattaque a eu lieu un an après cet avertissement.