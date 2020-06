Les systèmes informatiques de la Régie de l’assurance maladie et de Retraite Québec sont des zones à risque qui mettent en péril la confidentialité et l’intégrité des informations personnelles des Québécois, tranche le Vérificateur général.

• À lire aussi: Le MTQ «manque de rigueur» dans ses estimations

Dans son rapport, le Vérificateur général du Québec lève le voile sur les principaux risques qui mettent en danger des millions d’informations confidentielles que détiennent ces deux entités du gouvernement.

Comme lors de la fuite de donnée chez Desjardins l’an dernier, les auditeurs soulignent que «la RAMQ et Retraite Québec ne contrôlent pas assez les activités du personnel ayant des accès privilégiés».

Le rapport dénonce un contrôle insuffisant du téléchargement de données confidentielles, de la révision des accès, du suivi des alertes de sécurité automatisées ainsi que de la validation de l’honnêteté des personnes ayant des accès privilégiés, incluant la vérification des antécédents judiciaires.

Pourtant, depuis plusieurs années, des dizaines de recommandations avaient été faites par le Vérificateur général en lien avec la gestion des identités et des accès informatiques.

Plusieurs risques

La vérificatrice générale expose aussi les quatre principaux risques qui mettent en péril les données des Québécois à la RAMQ et à Retraite Québec.

Risque d’utilisation illicite d’un accès après le départ d’un employé.

Exemple : une personne pourrait avoir accès aux systèmes, alors que cela ne devrait pas être le cas.

Risque de destruction ou de modification de données sans autorisation.

Exemple : un administrateur de base de données a le privilège d’altérer les données, et ce, sans qu’un contrôle soit effectué.

Risque de fuite de données confidentielles.

Exemple : un utilisateur possède les accès lui permettant de télécharger une base de données, et aucun contrôle n’est en place pour l’encadrement de cette activité.

Risque d’usurpation des accès par une personne autre que celle autorisée.

Exemple : une personne connaît l’identifiant d’un collègue et son mot de passe, et les utilise afin d’effectuer des transactions illicites.

Meilleure supervision

Le Vérificateur général souligne que la supervision doit être renforcée auprès du personnel qui déteint des accès privilégiés pour télécharger des données confidentielles.

«Actuellement, les utilisateurs n’ont pas toujours besoin d’obtenir l’autorisation du gestionnaire avant de procéder au téléchargement, et les gestionnaires n’effectuent pas de suivi systématique sur ce qui a été téléchargé», indique le document.

Le VG ajoute que les responsables de la gouvernance et la haute direction de la RAMQ et de Retraite Québec ne disposent pas de l’information nécessaire pour repérer rapidement les incidents en matière de gestion des identités et des accès.

Les travaux du Vérificateur général n’ont toutefois pas permis de déceler des erreurs ou des cas de fraudes en lien avec les déficiences de contrôle de sécurité.

Les données à risque de la RAMQ

Noms et numéros d’assurance sociale et d’assurance maladie

Le salaire des médecins

Les médicaments attribués aux personnes assurées

Les prestations versées par la CNESST

Les données à risque de Retraite Québec