Le 30 mai dernier, une alerte chamboule la Direction des ressources technologiques. Le ministère nous avise que des comptes ayant des privilèges d’accès sont utilisés de façon inhabituelle. Une enquête interne démontre qu’il se passe quelque chose d’anormal…
Une cellule de crise se met en place. «Le 2 juin à 23 h, nous avons dû prendre la décision de couper l’accès à Internet partout sur le réseau du CIUSSS», explique Sylvain Bélair, Directeur adjoint des ressources technologiques (DRT) – Technologies. Cette décision allait avoir des conséquences pour tous les employés. «On voulait s’assurer de garantir le même service, de garder les sites de vaccination opérationnels», se rappelle le directeur.
Dans un petit local de l’IUSMM, les membres de la cellule de crise se rassemblaient de très tôt le matin, jusqu’à très tard le soir. «Une vingtaine de personnes ont été mobilisées pendant cette crise, de jour, de soir, de fin de semaine, sans arrêt», affirme-t-il.
Fermer et barrer les portes
Les pirates informatiques cherchent des brèches où ils pourront installer des outils. Ces outils leur permettent, par exemple, de désactiver les antivirus et les copies de sauvegarde. Une fois installés dans un système, les pirates peuvent encoder les données, comme un kidnapping, et demander une rançon au propriétaire des données. «C’est le modus operandi des pirates informatiques», explique M. Bélair, qui travaille dans le domaine depuis 33 ans.
Pour éviter que les pirates s’installent, il faut délimiter un périmètre de sécurité pour ne plus leur permettre d’entrer. «C’est la raison pour laquelle on a coupé Internet. Ce n’est pas de gaité de cœur qu’on a pris cette décision. Il fallait désamorcer les pirates, désinstaller les outils qu’ils avaient mis en place», explique-t-il.
De l’aide en renfort
Dès les premières minutes de cette crise, le Centre opérationnel de la cyberdéfense du ministère de la Santé et des services sociaux et le responsable de la sécurité informationnelle de notre organisation ont été dépêchés pour appuyer l’équipe de la DRT. «On a établi un centre de commandement pour avoir toute l’information au même endroit.»
«Chaque jour, nous avions des dizaines de requêtes pour rouvrir des sites Internet essentiels au travail des employés. Une petite équipe analysait chacune des demandes pour voir si le site devait se retrouver sur la liste autorisée (whitelist).»
Sylvain Bélair, directeur adjoint à la DRT
La DRT s’est aussi tournée vers le CIUSSS du Centre-Ouest qui a vécu une attaque similaire dans les derniers mois. «On a fait des rencontres via Teams pour qu’ils nous partagent leur expérience, pour apprendre d’eux», poursuit le directeur adjoint. Lors d’une cyberattaque, il faut prendre un temps de recul pour analyser, trouver les bonnes équipes et les mobiliser. «On le savait que c’était pour durer un certain temps.»
Une équipe de Microsoft a aussi été assignée, sur place, pendant quelques semaines. «L’équipe DART a été mobilisée dès le lendemain. Une autre équipe, le CRT, a aussi revu toutes nos pratiques et les droits d’accès afin d’éviter qu’un autre événement du genre ne se reproduise», précise M. Bélair. Il ajoute que les équipes de Microsoft n’étaient pas à leur première situation du genre. «Un des chargés de projet a dû nous quitter pour aller travailler à la sécurité informatique des Jeux olympiques. On nous a envoyé des stars!»
Limiter les dégâts
Grâce à la vigilance des équipes de surveillance et une action ciblée rapide, les pirates informatiques n’ont pas eu le temps de kidnapper les données. «Les environnements de Microsoft ont été ciblés, et ce possiblement à travers un jeton d’accès pour travailler de la maison. Il faut être très prudent lorsqu’on utilise du matériel informatique personnel pour le télétravail. Les antivirus doivent être fonctionnels et mis à jour régulièrement», explique M. Bélair.
En pleine pandémie, le télétravail a dû être mis de l’avant rapidement, mais s’avérait un risque pour la sécurité. «Depuis quelques années, nous avions mis en place un programme de sécurité, par étapes. Maintenant, notamment avec l’augmentation du nombre de jetons d’accès à distance, il faut accélérer ce programme de sécurité», assure-t-il.
Pour Sylvain Bélair, même si Internet et le wifi ont été coupés pendant deux mois (du 2 juin au 2 août exactement), les dommages ont été minimes. «Les antivirus ont fait leur travail. Les sauvegardes de nos serveurs sont efficaces et fiables. Aux États-Unis, pendant la pandémie, ce sont des dizaines de millions de dollars qui ont été demandés en rançon par des pirates informatiques. Ils ont attaqué là où la pandémie avait déjà affaibli les systèmes.»
13 000 postes et plus
La DRT gère plus de 13 000 postes informatiques dans plus d’une trentaine d’installations. «Nous avons travaillé fort à mettre en place des réseaux informatiques dans les installations temporaires comme les sites de dépistage et les cliniques de vaccination. En plus de gérer les postes de travail et les employés en télétravail.»
M. Bélair suggère d’ailleurs d’éviter de surfer de publicité en publicité sur le Web. «C’est souvent de cette façon qu’ils peuvent traquer des cibles potentielles», explique-t-il.
Si la crise est terminée, le travail en cyberdéfense de la DRT, lui, ne l’est pas. «On est content de ce que nous avons accompli. Nous avions un plan de match sur papier et il a fonctionné. Maintenant, nous avons fait des cartographies de toutes nos activités informatiques et il faut revoir toutes les pratiques pour les rendre le plus sécuritaires possible. C’est un combat qui n’arrête jamais.»
L’équipe de Sylvain Bélair, celle mobilisée pour la crise, et tous les autres employés qui ont travaillé doublement pour continuer d’offrir les services informatiques réguliers pendant la crise, ont acquis une expérience qui va servir. «C’est venu créer des liens dans l’équipe. Et nous avons pris soin de notre équipe, notamment en leur permettant de prendre des vacances, même pendant la crise. Tout le monde en avait besoin. C’était essentiel pour nous de respecter le temps de pause qui leur était dû.»