Bien avant la cyberattaque des Pays-Bas, un rapport sur les failles du système pointé du doigt

Les cyber-experts israéliens qui ont examiné les dispositifs de sécurité des informations de la plus grande autorité sanitaire de Terre-Neuve-et-Labrador ont confirmé “de nombreuses vulnérabilités, problèmes de sécurité et problèmes de conformité” qui devaient être résolus au sein de son réseau.

Les détails se trouvent dans un plan d’affaires préparé pour Eastern Health en septembre 2020 et récemment obtenu par CBC/Radio-Canada.

«Le système provincial peut actuellement subir des failles de cybersécurité sans connaissance ni réponse possible en raison du manque de personnel qualifié, du manque de processus établis et du manque de technologie adéquate pour les inévitables menaces de cybersécurité», indique la proposition.

Le rapport a été achevé plus d’un an avant que la cyberattaque de l’automne dernier ne paralyse le système de santé de la province.

Rien n’indique que les problèmes que vous avez identifiés soient liés à la violation de l’automne dernier.

En fait, il n’y a eu aucune divulgation publique de la cause de la cyberattaque. Les responsables du gouvernement provincial ont refusé à plusieurs reprises de répondre aux questions sur l’attaque, invoquant des raisons de sécurité.

Ronald Johnson, vice-président de l’innovation et de la santé rurale chez Eastern Health, a déclaré à CBC/Radio-Canada que le plan d’affaires a été créé dans le cadre d’un processus visant à créer un centre d’excellence en cybersécurité dans la province.

Mais il n’a pas dit exactement ce qui a été fait pour répondre aux préoccupations soulevées dans le rapport.

“Certaines actions auraient eu lieu à partir de ces évaluations. Mais encore une fois, ces évaluations visaient à préparer le terrain pour ce projet plus vaste”, a déclaré Johnson.

“Ces problèmes qui ont été identifiés, ces problèmes plus vastes, sont ce que j’appellerais des défis pour le système de santé. Et l’objectif du COE, ce cybercentre d’excellence, est de relever ces défis.”

Ronald Johnson est vice-président de l’innovation et de la santé rurale à Eastern Health, la plus grande autorité sanitaire de Terre-Neuve-et-Labrador. (Patrick Butler/Radio Canada)

Johnson a déclaré que le travail visait à identifier les “problèmes mondiaux” qui pourraient affecter les organisations de soins de santé à travers le pays.

“Ce projet vise à aborder la cybersécurité à long terme. Cela n’exclut pas nécessairement tout ce qui se passe à court terme.”

Johnson a déclaré qu’il ne pouvait pas discuter des efforts à court terme.

Le ministère de la Santé a refusé de rendre quiconque disponible pour un entretien afin de répondre aux préoccupations soulevées par le rapport.

“Cela pourrait absolument être considéré comme un avertissement”

Eastern Health travaille avec des partenaires depuis 2019 sur le concept de centre d’excellence.

Le plan d’affaires 2020 a été préparé par une entreprise basée à Ottawa appelée Canada Israel Technology Solutions.

Il comprenait une «analyse approfondie de l’exposition» du système informatique d’Eastern Health et du Centre d’information sur la santé de Terre-Neuve-et-Labrador, qui est responsable de la sécurité du réseau pour toutes les autorités sanitaires de la province.

L’analyse proprement dite, menée par la société israélienne CyberMDX, reste confidentielle. Mais les grandes lignes de leurs conclusions sont décrites dans la proposition commerciale 2020.

CBC/Radio-Canada a fourni ce document de 40 pages à une demi-douzaine d’experts en cybersécurité pour leur contribution.

“Je pense que cela pourrait absolument être considéré comme un avertissement”, a déclaré Simon Woodworth, directeur du Centre de recherche sur les systèmes d’information sur la santé de l’University College Cork en Irlande.

“Et en ce sens, il est significatif que la cyberattaque se soit produite un an après l’avertissement.”

Sam Harper, journaliste et programmeur chez Crypto Québec, a déclaré : « Les alarmes [were] s’éteint pendant que je le lisais”.

“Analytes de sécurité insuffisants”

Une section du rapport sur les besoins en matière de cybersécurité fait référence à un certain nombre de problèmes potentiels.

Ils allaient d’une technologie obsolète au manque de personnel en passant par une base de données inadéquate utilisée pour suivre les informations sur les actifs.

Selon le rapport, il y avait des composants obsolètes dans certains systèmes informatiques qui ne pouvaient pas être correctement gérés ou corrigés, et qui auraient très probablement besoin d’être mis à niveau ou complètement démantelés.

Le document recommandait davantage de personnel de sécurité pour identifier, répondre, atténuer et se défendre contre les cybermenaces.

Il a déclaré que si les systèmes Eastern Health et NLCHI sont construits avec les meilleures pratiques et les normes de sécurité, il y a “un nombre insuffisant d’analystes de sécurité capables d’assurer une conformité totale”.

En conséquence, seuls des audits partiels ont été effectués chaque année sur un certain nombre de systèmes de sécurité critiques.

Les responsables de Eastern Health ont déclaré que le rapport de 2020 qui identifiait les problèmes potentiels avait été créé dans le cadre d’un processus à long terme visant à créer un centre d’excellence en cybersécurité à Terre-Neuve-et-Labrador. (REUTERS/Kacper Pempel/Photo d’archive)

“Si vous n’avez pas le personnel pour entretenir le système, c’est comme si vous aviez une voiture dont vous ne prévoyez jamais de changer l’huile, les ampoules ou les pneus”, a déclaré Iva Tasheva, cofondatrice et responsable de la gestion de la cybersécurité pour le cabinet de conseil CyEn. à Bruxelles.

“Donc, il finirait par disparaître et deviendrait très rapidement obsolète.”

Sam Harper de Crypto Québec a accepté.

“Tout le monde dit toujours que tout est construit selon des normes et tout, mais malheureusement, c’est la façon dont vous l’entretenez par la suite qui est important”, a déclaré Harper.

“Je veux dire, vous pouvez construire la maison du mieux que vous pouvez, mais si vous ne faites jamais les réparations nécessaires, si vous ne réparez pas les choses quand elles sont cassées, eh bien, après 20 ans, après 10 ans, je pourrais être en difficulté.”

De nouveaux risques évoluent, tout comme les pratiques, y compris les pratiques criminelles, a déclaré Solange Ghernaouti, professeur de cybersécurité à l’Université de Lausanne en Suisse.

“Cela signifie que nous avons besoin de techniciens pour faire de la sécurité, mais nous avons surtout besoin d’analystes capables de comprendre la situation, ce qui doit être protégé, les risques”, a déclaré Ghernaouti.

“Problèmes de conformité à résoudre” sur le réseau

Le plan d’affaires 2020 a également noté l’absence d’une base de données complète des éléments de configuration actuels, soit en place, soit maintenue, ce qui rend difficile la détermination de l’étendue complète des mises à jour et des correctifs nécessaires.

Cette base de données est essentiellement un inventaire des actifs matériels et logiciels.

“Dans ce cas, il y a évidemment un manque très clair de visibilité sur le réseau”, a déclaré Ronan Murphy, directeur général de SmartTech247, une société irlandaise de cybersécurité qui opère à l’échelle mondiale.

“Même si vous avez de la visibilité, c’est un cercle vicieux si vous n’avez pas les analystes ou la capacité de résoudre les problèmes que vous voyez. C’est un point discutable.”

Les représentants du gouvernement de Terre-Neuve-et-Labrador ont fourni peu d’informations sur une cyberattaque qui a plongé le système de santé de la province dans le chaos l’automne dernier. Ils ne diront pas si cela a été causé par un ransomware ou qui en était responsable. (Kacper Pempel/Reuters)

Selon le rapport, Eastern Health a passé un contrat avec CyberMDX pour un engagement de “preuve de valeur” d’un mois pour surveiller passivement les systèmes de l’hôpital de Carbonear.

“Pendant le court laps de temps où le système a été opérationnel, les conclusions de CyberMDX ont confirmé qu’il existe de nombreuses vulnérabilités, problèmes de sécurité et problèmes de conformité qui doivent être résolus au sein du réseau EH”, indique la proposition commerciale de 2020.

CyberMDX, qui a récemment été acquis par une autre entreprise, a refusé une demande de CBC/Radio-Canada de fournir plus d’informations sur son travail à Terre-Neuve-et-Labrador.

Les responsables de Canada Israel Technology Solutions n’ont pas pu être joints pour commenter.

Statut de centre d’excellence

Plusieurs des experts en cybersécurité contactés par CBC/Radio-Canada ont souligné que le plan d’affaires 2020 s’inscrivait dans le cadre d’un argumentaire de vente à la régie de la santé et qu’il fallait tenir compte du contexte dans l’analyse de leurs conclusions.

Eastern Health a mis le document à la disposition de partenaires potentiels du secteur privé l’année dernière, à mesure que progressait le processus d’évaluation de l’intérêt et des commentaires de l’industrie sur l’idée du centre d’excellence.

Le vice-président Ronald Johnson a déclaré que le plan continuait de progresser, avec des “briques et du mortier” pouvant se produire d’ici la fin de cette année.

L’objectif est de protéger l’infrastructure provinciale des soins de santé contre les cybermenaces, tout en renforçant l’expertise de l’industrie.

“Nous protégerons nos actifs, mais en même temps, nous aurons la création d’emplois et le développement économique”, a déclaré Johnson.

“C’est pourquoi nous l’avons fait.”

Selon une présentation d’Eastern Health l’été dernier, le centre d’excellence atteindrait presque le seuil de rentabilité après cinq ans, après avoir engagé des coûts nets de plus de 28 millions de dollars.

Les questions sur la cyberattaque restent sans réponse

Les représentants du gouvernement sont restés silencieux sur la plupart des aspects de la cyberattaque, qui a fait tomber de nombreux systèmes informatiques de santé dans la province.

Ils ont confirmé que les informations personnelles de milliers d’employés des autorités sanitaires, remontant à des années, voire des décennies, ont été volées, ainsi que 200 000 dossiers de l’Eastern Health pouvant contenir des données sur la santé des patients. Les chirurgies et les procédures médicales ont été retardées l’automne dernier.

Mais le gouvernement provincial ne dira pas qui était responsable de l’attaque, s’il s’agissait d’un logiciel de rançon, si une rançon a été payée ou si quelque chose a été fait depuis pour résoudre les problèmes.

“Je pense qu’il serait prudent de dire que nous avons pris des mesures pour remédier aux problèmes que nous avons rencontrés”, a déclaré fin mars le ministre de la Santé, John Haggie.

“Je pense qu’au-delà de cela, il serait imprudent d’entrer à nouveau dans trop de détails. Pour des raisons de sécurité, c’est un peu comme donner à un voleur le mot de passe de votre système d’alarme.”

Mais Simon Woodworth de l’University College Cork dit qu’il devrait y avoir de la transparence et de l’ouverture.

“Il y a une horrible habitude chez les particuliers, les entreprises et les ministères de rester très silencieux sur les cyberattaques et leurs conséquences”, a-t-il déclaré.

“Ce sont les données des patients avec lesquels ils traitent. Les gens ont le droit de savoir dans quelle mesure les données sont protégées.”

Et Woodworth a demandé pourquoi le plan d’affaires ne se concentrait pas davantage sur des solutions à court terme plutôt que sur des objectifs à long terme.

“Le document aurait peut-être pu en dire un peu plus sur” voici ce que vous devez faire immédiatement avant que nous ne soyons pris dans le grand plan “”, a-t-il déclaré.

En savoir plus sur CBC Terre-Neuve-et-Labrador

Add Comment