Dans le contexte récent des fuites de données chez Desjardins, Capital One et Revenu Québec, Hydro-Québec a resserré ses mesures de sécurité le mois dernier, interdisant dorénavant l’utilisation de clés USB ou de tout autre périphérique de stockage amovible.
« Ce que l’on met en place, c’est lié à l’ensemble du contexte où il y a de plus en plus de menaces de fuites de données », explique Louis-Olivier Batty, du service des communications. « C’est assez connu dans la cybersécurité que les clés USB sont une porte d’entrée souvent utilisée », dit-il.
Pour le vol de données chez Desjardins, par exemple, des clés USB auraient été utilisées afin d’emmagasiner des renseignements personnels, ce qui touche l’ensemble des membres. « La fuite de données dans l’industrie financière fait partie du contexte global, mais d’autres enjeux justifient également notre décision de renforcer nos politiques et pratiques en matière de protection de nos systèmes informatiques et de toute information de l’entreprise, dont les renseignements personnels », affirme M. Batty en pointant notamment « les risques liés à l’intrusion de virus informatiques ».
Il soutient qu’aucun incident concernant la société d’État n’a été à l’origine de ces changements, et rappelle qu’une équipe comptant une centaine de personnes veille à la cybersécurité d’Hydro-Québec. M. Batty reconnaît toutefois que « personne n’est parfaitement à l’abri ».
Trois mesures de sécurité
Les 20 000 employés d’Hydro-Québec ont été prévenus des nouvelles mesures dans un bulletin interne. On y rappelle que la société d’État est engagée dans la « sécurisation de l’ensemble des données, des installations et des infrastructures technologiques ». « Dans cette optique, et dans le contexte des événements d’exfiltration de données survenus dans différentes organisations, Hydro-Québec met en place des mesures additionnelles de sécurité », peut-on lire.
Depuis le 21 janvier dernier, l’utilisation de clés USB et de disques externes, par exemple, n’est plus autorisée sur les ordinateurs de bureau et les portables d’Hydro-Québec. De façon exceptionnelle, un employé peut obtenir un privilège appelé « Exception sécurité » afin d’accéder à un support de stockage amovible, explique-t-on.
Deux autres mesures ont également été annoncées. L’accès aux services de stockage externes et de partage de fichiers en ligne, comme Dropbox, Google Drive ou WeTransfer, n’est plus autorisé. De plus, il n’est plus possible d’ouvrir ou de télécharger des pièces jointes provenant d’un service de messagerie électronique personnelle à partir d’un ordinateur de bureau ou d’un portable de la société d’État. Les mesures adoptées ne s’appliquent pas aux appareils mobiles d’Hydro-Québec qui sont déjà munis de dispositifs permettant « d’isoler les données d’entreprise des données personnelles ».
Louis-Olivier Batty estime que les nouvelles mesures de sécurité n’entravent pas le travail des différentes équipes d’employés. Le président du Syndicat professionnel des ingénieurs d’Hydro-Québec, Nicolas Cloutier, affirme n’avoir reçu aucune plainte de la part de ses 2121 membres. « Hydro-Québec travaille très fort pour que ce qui s’est passé chez Desjardins ne se produise chez nous. Mais nous, on s’inquiète surtout que des serveurs de données soient gérés en impartition, à l’extérieur d’Hydro », affirme M. Cloutier.