« Violation massive » : les députés furieux du transfert d’e-mails pendant l’enquête

Plus de 100 000 e-mails et documents parlementaires sensibles ont été remis à un cabinet d’avocats privé récemment victime d’une importante cyberattaque, malgré des avertissements clairs sur les risques extrêmes encourus. En 2023, la secrétaire adjointe du Département des Services Parlementaires (DPS), Jaala Hinchcliffe, a ordonné à son équipe informatique de remettre un vaste ensemble de communications, incluant des fichiers Microsoft Office et des discussions Teams, couvrant une période de 10 mois. Cette démarche faisait partie d’une enquête interne sur d’éventuelles fautes commises par des cadres supérieurs, dont son alors supérieur, Rob Stefanic, finalement licencié pour perte de confiance.\n\nHinchcliffe, qui avait travaillé sur l’intégrité des forces de l’ordre et les agences anti-corruption, a deux fois demandé au service informatique du département de donner au cabinet juridique HWL Ebsworth l’accès aux communications parlementaires. Des signaux d’alarme ont retenti au sein de la division cybersécurité du DPS car HWL Ebsworth avait subi une massive attaque par ransomware russe quelques mois plus tôt, entraînant le vol de 3,6 To de données. Malgré les experts en cybersécurité signalant un risque « extrême » de divulgation illégale, incluant des violations potentielles de la sécurité nationale et du privilège parlementaire, Hinchcliffe n’a ni rejeté ni demandé de clarifications supplémentaires sur ces avertissements.\n\nLes données remises comprenaient plus de 108 000 e-mails et 44 000 enregistrements Office 365 liés aux communications entre plusieurs personnalités de haut niveau, dont Stefanic, une ancienne secrétaire adjointe Cate Saunders, qui avait reçu un paiement incitatif controversé de 315 000 $ pour sa retraite, ainsi que d’autres hauts fonctionnaires. Cette enquête se déroulait parallèlement à une investigation de la Commission Nationale Anti-Corruption (NACC) et à une autre enquête factuelle menée par l’avocate Fiona Roughley.\n\nAprès le transfert initial des données en juillet 2023, Hinchcliffe a demandé une recherche supplémentaire lorsque le conseil a estimé que certains documents avaient été exclus. Cette fois, cependant, un analyste de données engagé par HWL Ebsworth a effectué la recherche, et le sous-traitant du cabinet juridique a obtenu un accès administrateur complet au réseau informatique entier du DPS — une mesure qui a encore accru les inquiétudes en matière de cybersécurité.\n\nLes politiciens fédéraux ont exprimé leur indignation face à la possible violation du privilège parlementaire et de la confidentialité. La sénatrice libérale Jane Hume a averti que la violation de cette confidentialité pourrait menacer les processus démocratiques, tandis que la sénatrice des Verts Steph Hodgins-May a critiqué le département pour avoir mené une collecte trop large incluant des communications de personnels subalternes non impliqués, qualifiant cela de « violation massive de la confiance ». Le sénateur du Queensland James McGrath a ajouté que si des e-mails avaient été partagés malgré des évaluations explicites des risques, une responsabilité sérieuse devrait être engagée.\n\nLe département maintient que HWL Ebsworth a fourni des garanties et établi des protocoles pour gérer les données, et qu’aucune donnée parlementaire n’a été remise à Roughley dans le cadre de son enquête. L’enquête sur le paiement de retraite de Saunders a révélé des conflits d’intérêts et des défaillances procédurales, notamment des erreurs de paie ayant conduit à un trop-perçu. L’ensemble de cet épisode a suscité des questions sur l’équilibre entre la nécessité d’enquêtes internes et la protection des communications parlementaires sensibles, surtout lorsqu’il s’agit de tiers récemment vulnérables en cybersécurité.