/investigations/health
Navigation

Des mots de passe très mal protégés dans un établissement de santé

GEN-FONDATION-ANNA-LABERGE
PHOTO D'ARCHIVES, AGENCE QMI L'hôpital Anna-Laberge

Coup d'oeil sur cet article

Un établissement de santé a ouvert une enquête après qu’une de ses cadres eut demandé à des dizaines d’employés de lui fournir leurs mots de passe, afin qu'elle puisse entrer dans leur session informatique.

«La direction me demande de tenir à jour un tableau avec vos identifiants et mots de passe Windows (pour entrer dans votre session) [et] vos mots de passe de boîte vocale», a écrit une adjointe administrative à 45 employés du CISSS de la Montérégie-Ouest, mardi, dans un courriel obtenu par notre Bureau d’enquête.

«Inquiétez-vous pas, je ne diffuserai pas les informations. C’est seulement en cas de besoin, si quelqu’un est en arrêt maladie», poursuit celle qui dit écrire pour le compte de Karine Plante-Boulay, cheffe de programme Santé mentale jeunesse au CISSS-MO.

L’organisme a confirmé qu’une enquête interne avait été ouverte à la suite de l’incident. «Des mesures disciplinaires appropriées pourraient être appliquées», a expliqué Jade St-Jean, porte-parole pour le CISSS.

Des réponses au courriel

Elle confirme par ailleurs que certains employés ont cru bon de répondre à la demande formulée dans le courriel. Depuis, les mots de passe en question ont été suspendus.

«Le centre opérationnel en cybersécurité a fait une enquête pour s’assurer qu’il n’y avait pas eu de brèche de sécurité et il a détruit tous les courriels des boîtes des employés qui l’ont reçu», a ajouté Mme St-Jean.

Vous avez un scoop
à nous transmettre?

Vous avez des informations à nous partager à propos de cette histoire?

Vous avez un scoop qui pourrait intéresser nos lecteurs?

Écrivez-nous à l'adresse
jdm-scoop@quebecormedia.com ou appelez-nous directement au
1 800-63SCOOP.

De plus, un message a été envoyé aux quelque 11 000 employés du CISSS pour leur rappeler qu'il est interdit de partager son identifiant et son mot de passe.

Le CISSS-MO juge pour le moment qu’il s’agit d’une «erreur humaine qui a été faite sans intention malveillante». 

Lumière rouge

Selon Éric Parent, expert en sécurité informatique, il s’agit clairement d’une «très mauvaise pratique».

«Se faire demander son mot de passe, c’est une lumière rouge automatique. C’est la base, le premier chapitre dans un livre sur la sécurité informatique», a indiqué le PDG d’EVA Technologies.

Le risque principal est que cette liste de mots de passe tombe entre de mauvaises mains, par inadvertance ou par malveillance.

«Comment cette liste serait sécurisée? Où serait-elle stockée? Qui y aurait accès? Si elle est envoyée par courriel, probablement que plusieurs employés de T.I. auront accès aux mots de passe», a fait remarquer M. Parent.

Sans compter qu’un mot de passe connu d’une seule personne permet de lui associer la responsabilité du poste de travail.

«Si plus d’une personne connaît un mot de passe, on ne pourra plus jamais attribuer une action à un utilisateur. Si on soupçonne un employé d’avoir commis une action répréhensible, on ne pourra jamais le prouver.» 

La gestionnaire Karine Plante-Boulay a préféré ne pas commenter.

Commentaires

Vous devez être connecté pour commenter. Se connecter

Bienvenue dans la section commentaires! Notre objectif est de créer un espace pour un discours réfléchi et productif. En publiant un commentaire, vous acceptez de vous conformer aux Conditions d'utilisation.