Des audits internes HSE avaient identifié un certain nombre de problèmes de cybersécurité, notamment les protocoles de mots de passe d’application et la gestion de l’accès sécurisé.
L’Irish Health Service Executive (HSE) avait été averti d’un certain nombre de faiblesses en matière de cybersécurité à la suite d’audits internes en 2018 et 2019.
Le HSE a subi une grave cyberattaque la semaine dernière, qui a contraint le service de santé à fermer ses systèmes informatiques et a provoqué une perturbation généralisée des soins de santé dans tout le pays.
Hier (20 mai), le Financial Times a rapporté que des pirates avaient divulgué des données personnelles en ligne, exigeant une rançon de 20 millions de dollars.
Alors que le HSE a déclaré qu’il faudrait «plusieurs semaines» pour évaluer le plein impact de l’attaque et restaurer ses systèmes informatiques, les audits annuels précédents montrent que certaines faiblesses des systèmes de sécurité ont été signalées.
Son rapport annuel 2018 indique que les audits internes ont identifié «des vulnérabilités dans le domaine des contrôles de sécurité dans certaines parties du domaine, y compris les protocoles de mot de passe d’application et la gestion de l’accès sécurisé».
Il a également indiqué que des faiblesses avaient été identifiées dans certains des domaines audités dans les protocoles de reprise après sinistre, en particulier en ce qui concerne les systèmes plus anciens et hérités.
Le rapport de 2019 a identifié les mêmes problèmes et a déclaré que le bureau du directeur de l’information s’est engagé à améliorer les contrôles en matière de cybersécurité.
S’exprimant à l’émission Today de RTÉ avec Claire Byrne, Daragh Ó Briain, directeur général de la société infosec Castlebridge, a déclaré qu’il serait plus préoccupant si les problèmes de sécurité n’étaient pas signalés dans les rapports précédents, car cela indiquerait «un énorme angle mort» en termes de recherche risques de cybersécurité.
Il a ajouté que ce qui est important, ce sont les mesures prises pour atténuer ces risques.
Le rapport de 2019 décrit un certain nombre de programmes en cours pour gérer les faiblesses, y compris un programme d’actualisation pour Windows 7, qui a cessé de recevoir des mises à jour et des correctifs critiques de Microsoft depuis janvier 2020.
À l’époque, le HSE a confirmé que le service de santé dispose toujours de 46 000 appareils Windows 7 sur son réseau de 58 000 ordinateurs. Avec seulement 12 000 appareils mis à niveau, le nombre d’appareils concernés représente environ 80% des ordinateurs du HSE.
D’autres plans de mise à niveau décrits dans le rapport de 2019 comprenaient la migration vers une identité numérique unique pour le personnel, qui avait commencé et «continuera à être déployée en 2020/2021».
Selon The Irish Times, un porte-parole du HSE a déclaré que le programme pluriannuel de dépenses autour de chacune des mesures énumérées par le HSE dans les rapports annuels visant à gérer les faiblesses «est en cours».
Dans un communiqué publié hier, le HSE a déclaré qu’il s’attend à commencer à voir «des signes précoces de reprise sur certains sites au cours des prochains jours».
Auteur/autrice
