Nova Scotia Power a déposé mardi le rapport exigé par la Commission de l’énergie de la Nouvelle-Écosse concernant la cyberattaque dont l'entreprise a été la cible, le printemps dernier.

Le principal fournisseur d'électricité de la province avait jusqu’à la fin de l’année, non seulement pour expliquer ce qui s’est passé, mais également pour expliquer la série d'événements qui continue d’affecter son fonctionnement.

Ces documents, attendus depuis l'été dernier, ont été déposés mardi matin auprès de la Commission d’énergie de la Nouvelle-Écosse.

Ils révèlent, entre autres, de nouveaux détails sur la cyberattaque qui a touché la compagnie en mars dernier. À titre d’exemple, le document de 52 pages affirme que la brèche a affecté de nombreux systèmes qui permettent à l'entreprise de fonctionner, tels que le système de planification de l’entreprise, la facturation des clients ou encore certains ordinateurs portables.

Les documents comprennent aussi une chronologie détaillée des moments où les consommateurs ont été informés de la gravité de la faille de sécurité.

Les documents offrent une chronologie détaillée sur les moments où les consommateurs ont été informés de la gravité de la brèche.

Photo : Radio-Canada

Le 28 avril 2025, la compagnie annonce être victime d’une cyberattaque. Quelques jours plus tard, le 1^er mai, la compagnie partage que des données personnelles de certains clients actuels ont été volées.

Le 13 mai, des lettres sont envoyées à 277 000 clients, les informant du vol de leurs données. Un peu moins de deux semaines plus tard, le 22 mai, Nova Scotia Power informe le public que les données volées ont été partagées sur le dark web.

Finalement, il est confirmé le 25 juin que les informations d’anciens clients ont également été dérobées. Au total, Nova Scotia Power affirme avoir prévenu 375 000 utilisateurs de la fuite de leurs données.

Une partie du rapport caviardée

La compagnie a déposé ce rapport auprès de la Commission de l’énergie de la Nouvelle-Écosse, demandant du même coup que certains passages ne soient pas rendues publiques.

Dix pages contiennent des informations caviardées, comme les pages 9 et 10, qui détaillent la chronologie de la découverte de l'attaque par rançongiciel et les actions prises immédiatement. La censure s'étend également aux changements qui ont été mis en œuvre au sein de l'entreprise à la suite de l'incident.

Nova Scotia Power n'a pas répondu à nos demandes d’entrevue avant la publication de ce reportage.

De son côté, la Commission de l’énergie affirme qu’il est trop tôt pour commenter. Elle doit aussi déterminer si les informations caviardées peuvent être révélées au public.