Canada : un fournisseur du ministère de la Défense victime d’un rançongiciel

Le ministère canadien de la Défense a annoncé, début mars 2023, que la société d’ingénierie Black & McDonald avait été victime d’un rançongiciel. Ontario Power Generation, la principale compagnie d’électricité de la province de l’Ontario, cliente de Black & McDonald, a corroboré cette information.

Selon une porte-parole du ministère de la Défense, l’attaque a été signalée, début février 2023, à Construction de Défense Canada. Cette société d’État gère les contrats avec les entreprises extérieures travaillant pour les bases militaires canadiennes.

Aucune information n’a en revanche filtré sur les contours de la cyberattaque, son auteur ou la nature des données chiffrées et/ou dérobées. Black & McDonald n’a d’ailleurs pas communiqué sur l’incident.

Black & McDonald fournit des services à plusieurs acteurs sensibles canadiens, dont le ministère de la Défense pour ses bases militaires. Le dernier contrat entre le ministère et la société, signé en 2020, est évalué à 157 millions de dollars canadiens (107 millions d’euros) sur 10 ans.

D’autres infrastructures critiques canadiennes, comme des centrales nucléaires et des aéroports, bénéficient aussi des services d’ingénierie de Black & McDonald. L’entreprise dispose également de contrats avec la Commission de transport de Toronto.

Les clients de Black & McDonald n’ont pas signalé de perturbations dans leurs activités à la suite de la cyberattaque. Mais la criticité de ces clients pousse le gouvernement fédéral à la plus grande vigilance.