Cyberattaque du système de santé de Terre-Neuve-et-Labrador

À compter du 30 octobre 2021, une attaque par le rançongiciel Hive a paralysé le système de soins de santé de Terre-Neuve-et-Labrador, dans un incident que les responsables de la province ont décrit comme la pire cyberattaque de l'histoire du Canada. L'assaut a paralysé les systèmes informatiques de plusieurs autorités régionales de santé et a forcé les cliniciens à revenir aux dossiers papier pendant des semaines.

Ce qui s'est passé

L'intrusion a débuté le 15 octobre 2021, lorsque des attaquants se sont connectés au réseau du Newfoundland and Labrador Centre for Health Information via le VPN à l'aide d'identifiants volés. Au cours des deux semaines suivantes, ils ont obtenu un accès administrateur et se sont déplacés latéralement vers des systèmes connectés. Le 30 octobre, les opérateurs ont déployé le rançongiciel Hive, chiffrant de nombreux serveurs et déclenchant une panne généralisée.

L'autorité la plus durement touchée fut Eastern Health, la plus grande autorité de santé de la province, desservant la région métropolitaine de St. John's. L'imagerie diagnostique, les systèmes de laboratoire, la messagerie et la planification ont tous été mis hors service. Les travailleurs de la santé sont revenus au papier et au crayon pour suivre les soins aux patients, et la province a été contrainte d'annuler des milliers de rendez-vous et d'interventions, dont des examens d'imagerie diagnostique, des séances de chimiothérapie et des chirurgies.

Impact

• Une panne informatique de santé à l'échelle de la province durant des semaines, avec des systèmes dégradés persistant bien plus longtemps.
• Des milliers de rendez-vous annulés, dont des soins contre le cancer et des interventions chirurgicales.
• La province a confirmé que des renseignements personnels et de santé de patients et d'employés avaient été consultés, dans certains cas des données remontant à des décennies pour le personnel actuel et ancien.
• Les cliniciens de plusieurs autorités régionales sont revenus à des processus manuels sur papier.

Attribution et conséquences

Pendant plus d'un an, la province a refusé de nommer les auteurs ou de confirmer si une rançon avait été demandée ou payée. En février 2023, Terre-Neuve-et-Labrador a officiellement attribué l'attaque au groupe de rançongiciel Hive, une prolifique opération de rançongiciel-en-tant-que-service. À ce moment-là, une coalition internationale d'application de la loi menée par le département de la Justice des États-Unis et Europol avait démantelé l'infrastructure de Hive en janvier 2023, saisissant ses serveurs et ses clés de déchiffrement.

Pourquoi c'est important

L'attaque de Terre-Neuve-et-Labrador est un exemple marquant du rançongiciel en tant que menace pour la santé et la sécurité publiques, et pas seulement pour la confidentialité des données. Elle a révélé comment un seul jeu d'identifiants VPN volés pouvait dégénérer en une crise sanitaire à l'échelle d'une province, retardant les soins urgents pour des patients atteints de cancer et d'autres maladies. L'incident a transformé les débats canadiens sur la résilience cybernétique des infrastructures critiques, la segmentation des réseaux, l'authentification multifacteur pour l'accès à distance et le devoir des gouvernements de divulguer rapidement les violations — un devoir que la province a été largement critiquée pour ne pas avoir rempli assez vite.