La Prairie, Dollard-Des Ormeaux et Rouyn-Noranda devront apporter des changements à leur processus de gestion des accès et de la sécurité de certains systèmes de contrôle industriels (SCI), à la suite d’un audit de performance réalisé par la Commission municipale du Québec (CMQ).

Cet audit de performance, dont les résultats ont été dévoilés mardi dans un rapport, porte précisément sur les systèmes rattachés aux usines de traitement de l’eau, pour les villes de La Prairie et de Rouyn-Noranda, et sur le système associé à la gestion des bâtiments municipaux pour la Ville de Dollard-Des Ormeaux.

«L’actualité nous rappelle chaque jour à quel point les enjeux de cybersécurité pèsent sur les organisations. Les organismes municipaux n’y échappent pas. Les municipalités doivent mettre en place des mesures de sécurité et des pratiques exemplaires pour détecter la moindre vulnérabilité de leurs actifs», a rappelé la vice-présidente à la vérification de la CMQ, Nancy Klein, ajoutant que les conséquences «peuvent être lourdes sur le plan financier, en matière de réputation ou encore de services offerts aux citoyens».

Dans son rapport, la CMQ reproche notamment à ces trois municipalités de n’avoir réalisé aucune classification de ces actifs des systèmes de contrôle industriels en fonction de leur sensibilité et de leur caractère critique.

«En négligeant cette étape, ces municipalités n’ont pas l’assurance qu’elles déploient les mesures de sécurité appropriées afin de diminuer les risques inacceptables», peut-on lire.

De plus, «elles n’ont pas défini formellement dans leurs cadres normatifs leurs objectifs et leurs exigences», en matière de sécurité de l’information ou de sécurité des systèmes de contrôle industriels, et n’ont pas «attribué de responsabilités aux employés et aux partenaires» à ce sujet. Les activités de sensibilisation réalisées par ces trois villes sont jugées «insuffisantes».

Aucun responsable en matière de sécurité de l’information n’a été désigné formellement par les municipalités de Dollard-Des Ormeaux et de La Prairie, révèle le rapport.

Des devoirs à faire

La CMQ a formulé cinq recommandations aux villes de La Prairie et de Dollard-Des Ormeaux et quatre à la Ville de Rouyn-Noranda.

Elles devront déployer un plan d’action pour répondre à chacune de ces recommandations.

Un suivi, prévu dans trois ans, évaluera leur degré d’application, a précisé la CMQ.

«Nous avons pris connaissance du rapport [...]et nous l’accueillons très favorablement, a déclaré la Ville de Dollars-Des Ormeaux. Il nous aura permis de nous questionner et de revoir certains processus. Une liste claire et bien documentée de recommandations a été formulée et nous nous engageons à l’implanter. Nous avons d’ailleurs déjà débuté par la création d’un comité dont le mandat est d’établir la politique de sécurité informatique».

De son côté, la ville de La Prairie a affirmé avoir «l’intention de corriger les points ayant été soulevés» et que «certaines recommandations sont d’ailleurs déjà en place».

La Ville de Rouyn-Noranda dit prendre «très au sérieux la question de la sécurité et ne lésinera pas sur les efforts». Elle assure avoir déjà mis en place un plan d’action pour améliorer ses façons de faire.