Mise à jour sur la cyberattaque par le directeur municipal

Mise à jour sur la cyberattaque par le directeur municipal, John Collin, à la réunion du conseil municipal du lundi 11 janvier 2021

Chers membres du Conseil,

Ce soir, je vous ferai une mise à jour assez longue sur nos efforts continus de rétablissement après la cyberattaque. Pour m’assurer de parler de tout ce qui est nécessaire, je m’exprimerai à l’aide d’un texte préparé et je me ferai un plaisir de répondre aux questions par la suite.

Pour vous donner le contexte, vous vous souviendrez que le 13 novembre 2020, des acteurs hostiles (criminels) ont exécuté une attaque par rançongiciel contre les systèmes informatiques de la Ville. Dès la découverte de l’attaque, nous avons immédiatement coupé nos liens informatiques avec le monde extérieur afin de nous assurer que nous, la Ville, ne causions pas la propagation du virus. Je suis heureux d’annoncer que nous n’avons aucune indication qu’il y ait eu une propagation du rançongiciel de biens ou de systèmes appartenant à la Ville à d’autres.

Depuis le début de cet incident, nous avons tenu le public au courant de ce qu’il doit savoir en fonction de ce que nous connaissons. Aujourd’hui, nous poursuivons cette approche avec cette séance d’information. Bien que nous soyons tout à fait déterminés à tenir le public informé et à indiquer tout ce que nous pouvons, nous sommes tout aussi déterminés à protéger les intérêts de la Ville. Nous avons été cohérents dans notre communication de renseignements. Nous ne divulguons pas de renseignements qui pourraient être utiles à ceux qui nous ont attaqués. Il s’agit notamment de ne rien leur donner sur les systèmes qu’ils ont réussi à compromettre, sur la façon dont nous avons contenu le virus ou sur la façon dont nous atténuons les attaques futures potentielles. Cela comprend également le fait de ne pas discuter publiquement de demandes de rançon précises ou de nos critères de décision pour de telles demandes. Bref, nous ne voulons pas donner à ces criminels des renseignements qui pourrait les aider à peaufiner leurs tactiques et leurs techniques ni fournir cette information à des copieurs ou à de futurs aspirants pirates informatiques.

De plus, il y a une enquête policière en cours sur cette attaque, ce qui nous donne d’autres raisons de ne pas divulguer certains renseignements.

Cela dit, nous continuerons de tenir le public au courant de toute compromission des renseignements personnels et de toute incidence sur notre prestation de services. Nous décrirons aussi, en temps et lieu, ce que cet incident a coûté financièrement à la Ville.

En ce qui concerne la question de la compromission possible des renseignements d’identification personnelle (souvent appelée RIP, ce qui comprend des éléments comme les numéros de carte de crédit, les renseignements sur le compte bancaire et les numéros d’assurance sociale), nous avons embauché, dès le départ, une société d’experts-conseils pour effectuer une analyse judiciaire afin de déterminer si de tels renseignements ont été compromis. Bien que nous n’ayons pas encore reçu le rapport final, tout indique jusqu’à maintenant qu’il n’y a pas eu de fuite ou de vol de RIP. Nous ne nous attendons pas à ce que cela change dans les dernières parties de l’analyse scientifique, mais même si c’était le cas, je voudrais souligner que la Ville conserve très peu de renseignements personnels sur les résidents ou les entreprises, puisque la plupart de nos besoins sont satisfaits par des applications infonuagiques; par conséquent, nous ne stockons pas ces renseignements dans nos réseaux. Nos propres employés courent un risque légèrement plus élevé étant donné que nous conservons une partie de leurs renseignements, mais je souligne encore une fois que notre analyse scientifique n’a relevé aucune fuite de RIP pour le moment.

Tout le monde devrait se préoccuper non seulement de la cyberattaque contre la Ville, mais aussi des nombreuses autres attaques qui se produisent tous les jours. Par conséquent, on vous recommande de vérifier régulièrement vos comptes bancaires et autres états financiers pour déceler toute anomalie ou activité suspecte et de signaler tout ce qui est inhabituel à vos institutions financières, le cas échéant.

Après avoir réussi à rompre les liens de nos systèmes avec le réseau extérieur le 14 novembre, nous nous sommes concentrés sur l’éradication du virus et le rétablissement d’une certaine capacité provisoire. La capacité provisoire était nécessaire, puisque nous avons débranché et arrêté nos systèmes normaux par excès de prudence. Je suis heureux de confirmer que nous avons relativement rapidement rétabli un site Web temporaire pour fournir de l’information à notre collectivité, recréé des comptes de courriel et de téléphone afin de communiquer des renseignements et mise en place des solutions de rechange pour d’autres fonctions informatiques essentielles que nous avions fermées. Par exemple, nous mettons en place d’autres processus informatiques pour nous assurer que tous les employés continuent d’être payés. Nous avons fait la même chose pour la plupart des services à la clientèle, et j’en parlerai davantage dans quelques instants.

Nous continuons d’améliorer les services de notre réseau provisoire et nous travaillons à son rétablissement complet. Notre analyse a confirmé que le degré de pénétration du virus était effectivement élevé. Pour cette raison et pour plusieurs autres, nous avons conclu que la RÉPARATION de nos systèmes existants n’est pas le meilleur choix. Nous avons plutôt décidé de construire un tout nouveau réseau. Cela nous permettra non seulement de tirer parti de toutes les dernières innovations en matière de cybersécurité et de conception de réseaux, mais aussi d’éliminer le risque que des parties du virus demeurent dans le système, ce qui peut se produire si l’on choisit l’option de réparation.

La construction d’un nouveau réseau prendra du temps. Notre plan de travail prévoit une restauration progressive, le gros du projet serait terminé en avril ou mai. Nous allons prendre notre temps pour bien faire les travaux. Il ne faut pas précipiter les choses. Je dois toutefois vous dire qu’il est très ambitieux de vouloir tout reconstruire dans une période de quatre à six mois.

Jusqu’à ce que les diverses fonctions de notre nouveau système soient en ligne, nous continuerons de compter sur nos capacités provisoires et de les améliorer. Nous continuons d’ajouter des données importantes sur notre site Web temporaire et, d’ici quelques semaines, notre nouveau site Web permanent sera lancé. Nous avons mis au point des processus grâce auxquels toutes les réunions publiques peuvent se poursuivre (comme le CCU tenu la semaine dernière) et nous avons rétabli, il y a quelques jours, la capacité d’accepter des paiements par carte de crédit et par carte de débit pour les factures dues.

En général, presque tous les services municipaux ont continué malgré la cyberattaque. Cela comprend, sans toutefois s’y limiter, toutes les interventions d’urgence (police, incendie, ambulanciers paramédicaux et OGU), le ramassage des ordures, la fourniture d’eau et le traitement des eaux usées, la réparation des routes, la gestion des tempêtes hivernales, le transport en commun, les réunions du Conseil, les activités d’entretien, le bureau d’assistance du service à la clientèle, et les travaux publics généraux. Le mérite en revient à toute l’équipe qui a travaillé sans relâche pour y parvenir. Là où il y a eu des suspensions temporaires, d’autres approches sont maintenant en place dans la plupart des cas et la majorité des perturbations étaient de très courte durée, comme les quelques jours où les permis de construction ont été retardés.

Il reste encore quelques services à rétablir. Par exemple, même si la salubrité de l’eau potable n’a jamais été menacée, aucune facture d’eau n’a été émise depuis la mi-novembre. Nous avons maintenant trouvé une solution temporaire et les factures d’eau devraient être émises cette semaine. Nous n’avons qu’une capacité limitée de donner des contraventions de stationnement, mais cela s’améliorera bientôt. Nous avons eu de la difficulté à soutenir les transactions foncières, mais nous nous attendons à ce que ce problème soit réglé sous peu.

Bref, il n’y a eu que de légères perturbations dans les services à la clientèle, et nous demeurons optimistes quant à leur maintien alors que nous bâtissons notre nouveau réseau. L’impact le plus important de l’attaque a été sur le personnel et les employés depuis que nos processus internes ont été modifiés et nous devrons affronter d’autres défis jusqu’à ce que notre nouveau réseau soit construit et pleinement fonctionnel dans quatre à six mois.

Pour ce qui est des coûts, j’ai le plaisir d’informer le Conseil que nous avons mis en place une police d’assurance cybernétique complète. Bien sûr, il y a des franchises, mais ce sont des montants gérables. Nous travaillons en étroite collaboration avec notre compagnie d’assurance pour veiller à ce que ses exigences soient satisfaites au fur et à mesure que nous avançons dans le processus de rétablissement, et nous sommes convaincus que la majorité de nos efforts d’intervention correspondront aux modalités de la politique. De façon générale, notre assurance ne couvrira que le retour à nos capacités antérieures. Étant donné que nous construisons de nouvelles installations et que nous ajoutons d’autres améliorations, les coûts des améliorations seront assumés par la Ville. Il s’agit également d’un élément gérable, puisque nous disposons d’un important fonds de réserve de TI et que nous avions prévu adopter ces améliorations au cours des prochaines années de toute façon. Je dois souligner que cet incident, tout comme la pandémie de COVID-19, nous a montré encore une fois la valeur de détenir des fonds de réserve. Nous n’aurons PAS besoin d’ajuster un budget annuel ou de modifier notre prestation de services à notre collectivité en raison de cette attaque. Nous pouvons utiliser le financement de la réserve pour couvrir les dépenses au lieu de réduire les coûts en éliminant des services, ce qui est exactement ce que les réserves sont censées faire.

Bien que nous puissions estimer certains des coûts publics, nous ne sommes pas encore prêts à décrire tous les coûts en détail puisque nous travaillons encore au plan de restauration. Nous communiquerons les coûts exacts à notre public et au Conseil une fois qu’ils seront confirmés.

Je voulais aussi parler d’une rumeur dans les médias sociaux selon laquelle la Ville aurait payé une rançon. Ce n’est pas le cas. Toute décision de verser une rançon serait une décision du Conseil et serait donc rendue publique. Comme je l’ai déjà mentionné, de nombreux critères doivent être pris en compte pour déterminer si une rançon doit être versée. Je n’en dirai pas plus pour l’instant, car nous ne devons PAS donner de renseignements précieux à ceux qui nous ont attaqués.

Enfin, j’aimerais aborder la question de savoir si cette attaque aurait pu être évitée et ce que nous ferons pour améliorer la situation à l’avenir. J’ai déjà mentionné que nous construisons un nouveau réseau avec toutes les dernières améliorations en matière de cyberdéfense. Mais la réalité, c’est que les cyberattaquants sont extrêmement sophistiqués et que la plupart des grandes sociétés, notamment les institutions financières, ont subi des violations de sécurité. Pas plus tard que le mois dernier, nous savons que de nombreux ministères aux États-Unis, y compris les départements de la Défense et du Trésor, ont été attaqués. Une importante entreprise américaine de cyberdéfense a également annoncé qu’elle avait été touchée. De nombreuses sociétés qui sont attaquées ne divulguent jamais ces renseignements.

En résumé, il ne s’agit pas de savoir « si » une société sera attaquée, mais plutôt de savoir « quand ». Soit dit en passant, au cours des trois dernières semaines, même avec notre réseau provisoire limité, nos systèmes de sécurité informatique ont repéré 13 000 courriels malveillants ou très suspects adressés aux utilisateurs de nos réseaux. Je vous dirais que la plupart des organisations ont des données comparables.

C’est pourquoi nous avons déjà fait part des leçons que nous avons apprises à de nombreux organismes des secteurs privé et public, et nous continuerons de le faire. Nous avons également communiqué les détails de cet incident aux intervenants provinciaux et fédéraux. Nous mettons en place une solide trousse de leçons apprises que nous communiquerons avec les autres afin qu’ils puissent se préparer à ce qui les attend. De plus, il vaut la peine de répéter qu’il ne fait aucun doute que les institutions avec lesquelles quiconque interagit seront victime de violations et que, parfois, vous ne le saurez même pas. Par conséquent, nous continuons de recommander à tous de prêter une attention particulière à vos états financiers et, si quelque chose semble suspect, veuillez communiquer avec votre institution financière.

En terminant, j’aimerais remercier toute l’équipe qui a travaillé sur cet incident. C’est tout à l’honneur de ceux qui ont rétabli nos réseaux, mais c’est tout à l’honneur de tous les employés qui continuent de travailler grâce à notre capacité informatique réduite pour offrir les services dont notre collectivité a besoin.