Lors d’une séance tendue jeudi matin, le comité d’audit, des finances et de l’administration de Hamilton a fait face aux conséquences de ce que les responsables appellent désormais la plus importante cyberattaque de l’histoire de la ville. Plus de 3,4 millions de dollars ont été détournés par le biais d’une fraude par courriel sophistiquée qui a ciblé les systèmes de paiement municipaux pendant une période de trois mois débutant en janvier 2025.
“Il ne s’agit pas seulement de fonds manquants, mais de la confiance du public,” a déclaré la conseillère Esther Powell, qui a exigé des explications du personnel municipal sur la façon dont cette fraude a pu se poursuivre sans être détectée pendant 12 semaines. “Chaque contribuable de cette ville mérite de savoir exactement comment leur argent a été volé sous nos yeux.”
La violation, découverte fin mars par un commis aux comptes créditeurs qui a remarqué des irrégularités dans les paiements, impliquait des fraudeurs se faisant passer pour des fournisseurs légitimes de la ville via des courriels soigneusement élaborés. Les malfaiteurs ont progressivement modifié les coordonnées bancaires de cinq entrepreneurs majeurs en infrastructure, détournant les paiements bimensuels vers des comptes à l’étranger que les enquêteurs ont retracés en Europe de l’Est et en Asie du Sud-Est.
La directrice municipale Sophia Richardson a reconnu de graves défaillances procédurales lors de son témoignage. “Nos protocoles de vérification ont été systématiquement contournés par ce que les experts en cybersécurité appellent une attaque classique par compromission de courriel d’affaires,” a expliqué Richardson. “Les auteurs ont passé des mois à étudier nos modèles de paiement avant de passer à l’action.”
Selon les documents d’audit interne publiés lors de la réunion du comité, la fraude a réussi en partie à cause des réductions de personnel dans le service financier de la ville suite aux compressions budgétaires de 2024. Les employés restants géraient presque le double de leur charge de travail précédente, créant ce que l’audit a décrit comme “des raccourcis dangereux dans les procédures de vérification.”
Le conseiller James Metzger n’a pas mâché ses mots concernant les responsabilités : “Nous avons passé des années à réduire les postes dits ‘administratifs’ tout en investissant dans des projets plus visibles. C’est le résultat inévitable—du personnel surchargé qui manque des vérifications de sécurité cruciales.”
La ville a mis en œuvre des mesures d’urgence pour récupérer les fonds, bien que les premiers rapports suggèrent que moins de 800 000 $ pourraient être récupérables. L’assurance devrait couvrir environ 60 % des pertes restantes, laissant potentiellement les contribuables responsables de plus d’un million de dollars.
La détective Diana Wu, de l’unité de cybercriminalité de la police de Hamilton, a informé le comité que des attaques similaires ont ciblé au moins sept autres municipalités ontariennes ces derniers mois. “Ce ne sont pas des attaques aléatoires, mais des campagnes soigneusement orchestrées ciblant des vulnérabilités spécifiques dans les systèmes financiers municipaux,” a déclaré Wu. “Le cas de Hamilton est malheureusement seulement la plus importante brèche réussie à ce jour.”
Le comité a voté à l’unanimité pour mettre en œuvre les 17 recommandations de l’audit d’urgence, incluant une vérification obligatoire par deux personnes pour tout changement de paiement, une formation trimestrielle en cybersécurité, et la restauration de quatre postes précédemment supprimés dans le service financier.
Pour les résidents préoccupés par leurs informations personnelles, le directeur des technologies de l’information Marcus Chen a offert quelques assurances. “Il ne s’agissait pas d’une violation de données au sens traditionnel. Les informations fiscales et les détails personnels des résidents demeurent sécurisés. Cette attaque ciblait spécifiquement nos systèmes de comptes fournisseurs et nos relations avec les vendeurs.”
Le conseil municipal complet examinera les recommandations du comité mardi prochain, y compris une proposition d’établir un conseil de surveillance indépendant en cybersécurité composé d’experts de l’industrie qui relèveraient directement du conseil.
Alors que Hamilton travaille à renforcer ses défenses contre des cyberattaques de plus en plus sophistiquées, cet incident soulève une question troublante qui s’étend bien au-delà des frontières municipales : à une époque où la fraude numérique devient presque indiscernable des communications commerciales légitimes, nos institutions publiques peuvent-elles vraiment être sécurisées sans repenser fondamentalement leur fonctionnement dans l’espace numérique?
