Les cyberpirates qui ont mené l’attaque contre Pharmascience ont volé les renseignements personnels, financiers et médicaux d’employés, a appris La Presse. Ils ont pu naviguer dans le système informatique de l’entreprise pendant un mois avant qu’on décèle leur présence.

Dans une lettre envoyée à des employés, le vice-président aux affaires juridiques et secrétaire général chez Pharmascience, Gregory M. C. Orleski, indique que l’enquête que mène l’entreprise pour faire la lumière sur la cyberattaque a permis de constater qu’un « tiers non autorisé a eu accès aux renseignements de Pharmascience depuis le début du mois de mai ».

Datée du 27 juin, cette lettre a été envoyée deux jours après que La Presse a contacté l’entreprise et près de trois semaines après que la pharmaceutique a découvert l’intrusion, soit le 1er juin 2024.

On y informe les employés que l’évènement a permis d’accéder aux renseignements personnels des employés – comme leurs nom, date de naissance et coordonnées –, mais également aux informations relatives aux emplois qu’ils occupent, comme leurs numéros d’assurance sociale et les informations relatives aux passeports.

Les informations financières ont également été exposées. C’est le cas des renseignements relatifs aux comptes bancaires et aux cartes de crédit, mais aussi ceux en lien avec les formulaires fiscaux et les informations relatives aux pensions alimentaires. Dans certains cas, peut-on lire, des informations médicales auraient pu être touchées.

« Extrêmement regrettable »

« Dès que nous avons eu connaissance de cet incident [le 1er juin 2024], nous avons déconnecté nos serveurs et engagé des experts externes en cybersécurité pour évaluer la situation et travailler à rétablir nos opérations aussi rapidement que possible », est-il expliqué.

La missive se termine en soutenant que la situation est « extrêmement regrettable » et en invitant les employés à la prudence.

Nous vous encourageons à rester vigilant face à tout courriel ou appel téléphonique suspect.

Gregory M. C. Orleski, de Pharmascience, dans une lettre adressée aux employés

L’entreprise a refusé notre demande d’entrevue. Dans un bref courriel, une porte-parole a déclaré : « Dès la découverte de l’incident, nous avons collaboré avec des experts dans l’industrie, et avons proactivement communiqué avec toutes les parties prenantes, incluant nos employés. »

La Commission d’accès à l’information du Québec (CAI) a confirmé avoir été mise au courant « d’un incident de confidentialité » de la part de Pharmascience le 6 juin, soit cinq jours après la découverte de l’intrusion.

La CAI rappelle qu’il appartient aux entreprises de déterminer « s’il y a un risque de préjudice sérieux pour les citoyens ». Si tel est le cas, « l’organisation doit aviser la Commission et les personnes concernées par l’incident ».