La Régie de l’assurance maladie du Québec (RAMQ) et Retraite Québec « ne contrôlent pas assez les activités du personnel ayant des accès privilégiés » aux renseignements personnels de la population, souligne la vérificatrice générale. Les antécédents judiciaires des employés bénéficiant de tels accès devraient être vérifiés, recommande Guylaine Leclerc.

Les systèmes informatiques de la RAMQ et de Retraite Québec contiennent des informations très délicates sur un grand nombre de Québécois.

La RAMQ détient les numéros d’assurance sociale et d’assurance maladie de 8 millions de personnes. Retraite Québec, qui gère le Régime des rentes du Québec, les régimes de retraite du secteur public et l’Allocation famille, possède des renseignements sur les salaires, les revenus et la situation familiale de millions de citoyens.

Un nombre limité d’employés (parmi lesquels des administrateurs de réseau, de bases de données et de sécurité informatique) bénéficient d’accès privilégiés à ces données. Mais ces accès leur donnent de grands pouvoirs, et les contrôles prévus sont insuffisants, souligne le rapport.

Les employés qui téléchargent des données confidentielles « n’ont pas toujours besoin d’obtenir l’autorisation de leur gestionnaire » et ces gestionnaires « n’effectuent pas de suivi sur ce qui a été téléchargé ».

D’autres lacunes sont ressorties, notamment l’absence d’alertes automatisées pour signaler rapidement les activités critiques et le fait que les accès privilégiés ne sont pas révisés assez souvent.

Antécédents judiciaires

Plusieurs gestes ont déjà été faits ou sont en voie de l’être, mentionnent les deux organismes dans le rapport.

La vérification des antécédents judiciaires des personnes ayant des accès privilégiés, l’une des premières recommandations de Mme Leclerc, n’en fait cependant pas partie.

C’est « une problématique qui devrait être adressée à l’ensemble de la fonction publique et non à la RAMQ spécifiquement », a répliqué la RAMQ.

Un commentaire que la VG juge « étonnant ».

Ce n’est pas parce que le gouvernement ne t’impose pas quelque chose que tu ne peux pas le faire.

La vérificatrice générale Guylaine Leclerc, en conférence de presse

Le gouvernement et le Secrétariat du Conseil du trésor pourraient se pencher là-dessus, dit-elle, « mais dans un premier temps, la RAMQ, c’est son premier devoir ».

La vérification des antécédents judiciaires des employés détenant des accès privilégiés est une « pratique de base », confirme le président de l’entreprise de sécurité informatique In Fidem. « Dans différentes organisations, c’est une pratique qui est établie depuis longtemps », indique Matthieu Chouinard.

Le cas de Desjardins, où 4,2 millions de particuliers et 1,8 million de titulaires de cartes de crédit ont vu leurs renseignements personnels compromis, a sensibilisé les Québécois aux risques posés par les employés. Mais il y a aussi eu des cas récents à Revenu Québec et au centre de recherches de l’armée à Valcartier, rappelle M. Chouinard. « Selon les études, de 40 % à 60 % des incidents de sécurité sont reliés à des personnes à qui on a autorisé les accès », dit-il. Ces chiffres incluent les contractuels et les partenaires d’affaires.

L’examen de la vérificatrice générale n’a détecté aucune fraude, ont souligné la RAMQ et Retraite Québec dans le rapport. « On n’a pas identifié d’éléments qui pouvaient porter à croire qu’il y avait eu activité criminelle », a précisé Mme Leclerc en conférence de presse. « On n’est pas en mesure de le certifier », a-t-elle cependant reconnu.