Des informations personnelles accessibles sur le site du CIUSSS de la Mauricie-et-du-Centre-du-Québec

Les informations personnelles d’employé·es du CIUSSS Mauricie-et-du-Centre-du-Québec (CIUSSS-MCQ) sont toujours disponibles en ligne après que Pivot en a avisé l’organisme. Des listes de préférences de vacances sont téléchargeables à partir du site de l’établissement de santé.

C’est lors de la préparation d’un article sur le transfert forcé du personnel infirmier vers des postes 24/7 au Centre intégré universitaire de santé et de services sociaux (CIUSSS) que Pivot a fait cette découverte. Des listes contenant les nom, prénom, années d’ancienneté, lieu de travail des employé·es et leurs préférences de vacances pour le mois de mars sont accessibles publiquement en ligne.

Pivot a avisé le CIUSSS-MCQ le dimanche 26 février. La responsable des communications, Caroline Morin, a répondu que le CIUSSS allait « les retirer dès que possible ». Trois jours plus tard, en date du mercredi 1^er mars, ces documents sont toujours disponibles sur le site Web.

Ce ne sont pas les seuls documents facilement accessibles. Une brève recherche a permis de constater que des documents internes, notamment dans des versions préliminaires, sont également indexés par le moteur de recherche Google et peuvent être consultés par le public.

Patrick Mathieu, expert en cybersécurité et cofondateur du Hackfest, note que la documentation du système interne du CIUSSS-MCQ, appelé intranet, a été indexée publiquement par les moteurs de recherche.

Parmi cette documentation, on retrouve des documents sensibles et confidentiels, explique-t-il. En plus des listes de préférences de vacances, des documents comportant des numéros de téléphone de cliniques « à ne pas diffuser » sont disponibles sur le site du CIUSSS-MCQ.

« Cela semble être dû à une mauvaise configuration des serveurs Web », dit Patrick Mathieu. Il y aurait aussi un manque de sécurité au niveau de l’accès à l’intranet, ajoute-t-il, car il est normalement réservé au personnel.