La STO défend sa gestion de crise, trois semaines après la cyberattaque la visant

La Société de transport de l’Outaouais (STO) s’est défendue, dans un premier point de presse depuis l'attaque de type rançongiciel dont elle a été victime, il y a trois semaines, d’avoir manqué de communication sur ce qu’elle faisait pour répondre à la situation.

Compte tenu de la complexité de la situation, vous comprendrez qu’il était impératif de faire preuve de prudence dans nos communications pour s’assurer de transmettre des informations exactes sans pour autant nuire aux enquêtes, a déclaré le directeur général de la STOSociété de transport de l'Outaouais, Patrick Leclerc, lundi.

Il a fait valoir que son organisation avait émis, dès le premier jour, une communication publique et avisé les usagers sur les réseaux sociaux. Il a ajouté qu’au 5e jour, trois communications avaient été faites et une page web sur le sujet avait été mise en place.

Il a aussi insisté sur le fait qu’il est difficile pour l’organisation de valider certaines informations et que la STOSociété de transport de l'Outaouais voulait éviter d’avancer certains éléments de réponse pour ensuite devoir rectifier le tir. La société n'a pas accès à une foule de données qui ont été cryptées par les pirates informatiques, dont des copies de sauvegarde numériques.

Quand vos systèmes sont encryptés et que vous n’avez pas accès aux backups, confirmer la validité de l’information devient extrêmement difficile.

M. Leclerc a aussi soutenu que des experts ont conseillé la prudence dans toute communication puisque, dans les jours suivant une attaque informatique, l'organisation déjà visée est d'autant plus susceptible de subir d'autres offensives. Par ailleurs, le directeur général a précisé que la STOSociété de transport de l'Outaouais a refusé de payer la rançon réclamée par les malfaiteurs en échange de l'accès à ses données.

Les pirates informatiques ont aussi, lors de l'attaque du 4 septembre, exfiltré des données vers le web caché. Selon les informations divulguées lundi, des données contenues dans les listes de clients pourraient avoir été compromises. Ces banques d'informations ne contiennent toutefois pas d’informations sensibles telles que des numéros d’assurance sociale et des données bancaires, a souligné Patrick Leclerc.