La cyberinfiltration de Rideau Hall était une intrusion « sophistiquée » : documents
Des documents récemment divulgués révèlent que l’intrusion dans un réseau informatique interne de Rideau Hall a été décrite aux hauts fonctionnaires comme un « cyberincident sophistiqué » dans les jours qui ont précédé l’annonce au public de la faille de sécurité.
Les courriels internes du gouvernement, obtenus par La Presse Canadienne grâce à la Loi sur l’accès à l’information, indiquent également que les fonctionnaires étaient « incapables de confirmer l’étendue complète des informations qui ont été consultées ».
En conséquence, le Bureau du Secrétaire du Gouverneur Général a cherché à mettre des services de surveillance de crédit à la disposition des employés en raison de préoccupations concernant le vol d’informations personnelles sensibles.
Tous les gestionnaires ont été encouragés à « réfléchir aux fonds d’information qu’ils gèrent dans leurs unités respectives » et à faire part de leurs préoccupations, selon l’ébauche du 17 novembre 2021 d’un message qui devait être transmis aux employés de Rideau Hall.
Dans un communiqué de presse du 2 décembre, le Bureau du secrétaire du gouverneur général a déclaré qu’il y avait eu « un accès non autorisé à son réseau interne » et qu’il travaillait sur l’enquête avec le Centre canadien de cybersécurité – une aile du Centre de la sécurité des télécommunications, le service d’espionnage électronique du Canada.
Elle a mentionné des efforts pour améliorer les réseaux informatiques ainsi qu’une consultation avec le bureau du commissaire fédéral à la protection de la vie privée.
Ciara Trudeau, une porte-parole du Bureau du Secrétaire, a déclaré qu’il a communiqué avec les employés de Rideau Hall et « les partenaires externes qui ont pu être affectés par l’incident. »
Cependant, elle a refusé de fournir une mise à jour générale sur la brèche, le type d’information consulté, ou d’autres détails sur la façon et la raison de l’incident.
Mme Trudeau n’a pas non plus voulu discuter de la fourniture de services sécurisés de surveillance du crédit aux employés.
Les courriels internes indiquent que plusieurs hauts fonctionnaires du Bureau du Conseil privé ont été informés de la violation deux semaines avant que l’événement ne soit rendu public.
Les porte-parole de ce bureau ont refusé de commenter l’incident.
Le porte-parole du Centre de la sécurité des télécommunications, Evan Koronewski, a déclaré que le CST et son cybercentre ne pouvaient pas discuter des détails spécifiques de la violation.
« Ce que je peux vous dire, c’est que nous continuons à travailler avec diligence avec (le Bureau du Secrétaire du Gouverneur général) pour nous assurer qu’ils ont des systèmes et des outils solides en place pour surveiller, détecter et enquêter sur toute nouvelle menace potentielle « , a-t-il déclaré.
Le CST fournit des services de cyberdéfense au Bureau du secrétaire en coordination avec des partenaires de Services partagés Canada, a-t-il ajouté.
Le piratage des banques de données est devenu de plus en plus attrayant pour les cybercriminels, a déclaré Chantal Bernier, ancienne commissaire à la protection de la vie privée du Canada par intérim.
« C’est sans risque, très bon marché et très rentable », a-t-elle déclaré dans une interview. « Malheureusement, il y a aussi beaucoup de piratage soutenu par l’État ».
Bernier a félicité Rideau Hall d’avoir rapidement alerté le CST, d’avoir examiné la possibilité de surveiller le crédit des employés et d’avoir contacté le bureau du commissaire à la protection de la vie privée, même si le Bureau du secrétaire n’est pas assujetti à la Loi sur la protection des renseignements personnels.
L’affaire souligne la nécessité d’élargir le mandat du commissaire à une époque où Internet a créé un déséquilibre de pouvoir entre les individus et les organisations qui possèdent leurs données personnelles, a-t-elle déclaré.
« C’est maintenant tellement complexe. Et nous ne pouvons pas, chacun d’entre nous individuellement, tenir les organisations responsables – cela nous dépasse », a déclaré Mme Bernier, qui s’occupe maintenant des affaires de vie privée et de cybersécurité au cabinet d’avocats Dentons.
« L’ampleur des brèches et des conséquences est telle que nous devons avoir un régulateur suffisamment fort pour tenir pour responsables toutes les organisations qui détiennent nos données. »
Ce rapport de la Presse canadienne a été publié pour la première fois le 17 avril 2022.