Une partie des failles de cybersécurité ne seront pas comblées au lancement du Dossier santé numérique (DSN), le 9 mai, révèle une enquête de Radio-Canada s'appuyant sur des documents et six sources. Des responsables de la sécurité du projet s'en inquiètent, mais Santé Québec se fait rassurante et assume un « niveau de risque résiduel ».

On va croiser les doigts, estime une de ces sources, parce qu'on n’est pas prêts.

Ce témoin ajoute que, parmi les équipes chargées de la sécurité de l'information, des gens ne sont pas à l’aise avec le lancement, le « Go Live », dans la nuit de vendredi à samedi.

L'employé de Santé Québec a accepté de se confier si nous promettons de garder son nom secret, en raison des obligations de confidentialité auxquelles il est soumis.

L’analyse de risque n’est pas mature. [...] Je nous souhaite bonne chance pour que ça fonctionne.

Entre le 27 avril et le 5 mai, Radio-Canada a recueilli les propos de six personnes impliquées dans la cybersécurité et l’informatique du projet, à différents échelons. Certaines sont en contact direct avec les travailleurs de la santé, tandis que d’autres ont différents niveaux de responsabilité à Santé Québec ou dans des firmes impliquées dans le projet.

Parmi nos six sources, deux demeurent convaincues que le lancement se passera bien, sans nier qu’il y aura des défis à relever. Selon elles, c’est normal qu’il y ait une part de risque.

Santé Québec assure que la décision de maintenir le déploiement du 9 mai repose sur une analyse rigoureuse de l’état d’avancement des correctifs et du niveau de risque résiduel.

Le logiciel de la compagnie américaine Epic Systems a été retenu pour l'implantation du DSN au Québec.

Photo : Getty Images / David Sacks

Des risques « partiellement couverts »

À la demande de Santé Québec, la firme Deloitte a déterminé des scénarios de risques pour le DSN, par exemple la compromission de comptes, un rançongiciel, des failles d’authentification ou l’exfiltration de données médicales.

Une source en cybersécurité partage son grand malaise alors que des risques définis par Deloitte sont partiellement couverts et la direction [de Santé Québec] va s'en rendre compte dans deux ou trois semaines.

La société d'État assure plutôt que les mesures de mitigation requises ont été déployées afin d’éliminer ou de réduire significativement les risques repérés.

Du « chaos organisé »?

C’est sûr que ça va brasser, prévient une de nos sources. Il va y avoir du chaos.

Le chaos est un terme qui circule aussi parmi les équipes informatiques au CIUSSS du Nord-de-l'Île-de-Montréal. Des employés vont obtenir leur accès à la plateforme sans avoir eu la formation préalable.

On n'arrête pas de nous parler de "chaos organisé", mais, pour moi, le chaos, ce n’est pas organisé. Soit c’est le chaos, soit c’est organisé, mais ça ne peut pas être les deux.

La plateforme du DSN est accessible sur ordinateur portable, tablette et cellulaire.

Photo : Radio-Canada / Ivanoh Demers

Selon des documents que nous avons obtenus, au moins trois mesures de mitigation des risques de cybersécurité n’étaient pas en place en début de semaine et aucun des risques n’était géré à 100 %.

Santé Québec affirme que les risques ont été réduits de plus de 90 %.

Le 9 mai marque le début du déploiement, et non la fin du travail de sécurisation, nous écrit par courriel la porte-parole de la société d'État, Marianne Paquette.

Encore des débats internes sur la sécurité

Un des documents mentionne que certaines mesures doivent être réglées d'ici le 31 mai, soit trois semaines après le lancement.

Un autre document montre que des employés étaient encore en train de débattre, dans les derniers jours, du meilleur plan à mettre en place pour la gestion des identités et des accès (GIA).

On a de réels problèmes sur le plan de la GIA, dit une source, qui évoque un chemin très glissant.

Les systèmes permettent de détecter, de bloquer et de corriger rapidement toute situation anormale, assure Santé Québec.

L'Hôpital du Sacré-Coeur-de-Montréal expérimentera le DSN dès samedi.

Photo : La Presse canadienne / Ryan Remiorz

Gallant avait mis en garde sur l'atténuation des risques

Dans le fiasco SAAQclic, les mesures de préparation aux risques n’étaient pas adéquates. C’est ce qu’a démontré la commission d’enquête sur le virage numérique de la Société de l'assurance automobile du Québec (SAAQ).

Dans le rapport Gallant, on peut lire que l’absence de mesures de mitigation exposait d’autant plus la SAAQ à des risques de ratés lors du déploiement.

De son côté, Santé Québec estime que dans tout projet technologique d’envergure, l’objectif n’est pas d’atteindre un risque théorique nul avant un déploiement.

Il faut plutôt s’assurer que les risques résiduels sont maîtrisés, acceptables et n’affectent ni la sécurité, ni la stabilité des opérations, ni la qualité et la continuité des soins.

Compte tenu de la nature technique de certains correctifs, leur mise en œuvre complète s’échelonne sur quelques mois, sans compromettre la sécurité ni la fiabilité du déploiement initial.

Le 22 avril, une rencontre à Santé Québec intitulée « Présentation des organigrammes » expliquait qui faisait quoi dans la Direction générale de la formation et de la cybersécurité.

Photo : Radio-Canada / Thomas Gerbet

Qui fait quoi?

Plusieurs sources déplorent le manque de communication et des divergences de vision entre les différentes équipes chargées de s’assurer de la sécurité de l’information.

Fin avril, des employés et des cadres se demandaient encore qui est responsable de quoi dans la structure. Le 22 avril, une rencontre intitulée Présentation des organigrammes expliquait qui faisait quoi dans la Direction générale de la formation et de la cybersécurité.

Pas de report du lancement

Lundi, la première ministre Christine Fréchette a autorisé le déploiement du projet vitrine du DSN, le 9 mai, en affirmant avoir eu toutes les garanties nécessaires pour la sécurité des soins et des données.

La première ministre Christine Fréchette a autorisé le déploiement du projet vitrine du DSN.

Photo : Radio-Canada / Sylvain Roy Roussel

Mme Fréchette a prévenu qu'il pourrait y en avoir, des bogues à partir du 9 mai.

Il y aura plus que des bogues, s'inquiète l'une de nos sources, qui fait écho aux préoccupations exprimées par l'ancien ministre de la Cybersécurité et du Numérique Gilles Bélanger.

Le 10 avril, M. Bélanger avait lancé un pavé dans la mare en affirmant s'inquiéter pour la sécurité des données de santé des Québécois. Dans une entrevue accordée à Radio-Canada, il affirmait qu'il manqu[ait] de visibilité sur des éléments critiques du DSN et que toutes les pièces du puzzle [n'étaient] pas en place pour lancer le projet.

Les inquiétudes exprimées par l'ex-ministre Gilles Bélanger avaient incité les partis d'opposition et les syndicats à exiger le report du déploiement du DSN.

Malgré les préoccupations exprimées, la nouvelle ministre responsable de la Cybersécurité et du Numérique, France-Élaine Duranceau, a aussi annoncé que son ministère donnait une recommandation favorable au lancement du 9 mai.

Pour sa part, la ministre de la Santé, Sonia Bélanger, a déclaré avoir exigé des garanties écrites de la part des responsables de Santé Québec.

Selon la ministre, reporter le projet une nouvelle fois, comme cela a été fait à l'automne, aurait démobilisé les équipes. Rester avec des dossiers de patients sur papier n’est pas plus sécuritaire, estime-t-elle.

Santé Québec a aussi fait valoir qu’un report nécessiterait une attente d’au moins quatre mois, en raison de la saison estivale, alors que les équipes sont moins nombreuses. Il y a aussi des pénalités de 11 millions de dollars par mois prévues au contrat.

L’option de reporter n’est pas envisageable, c’est ça le problème, analyse une source en informatique au CIUSSS de la Mauricie-et-du-Centre-du-Québec.

Le projet pilote du DSN devait coûter 265 millions de dollars, mais il a reçu une rallonge budgétaire du gouvernement à 402 millions.

S'il est étendu à l'ensemble de la province, les coûts pourraient dépasser 2,5 milliards de dollars, selon la ministre de la Santé.