Cyberincident

 

AccueilCyberincident

Déclaration du CEPEO concernant un incident de cybersécurité

Le mardi 30 novembre 2021

Le Conseil des écoles publiques de l’Est de l’Ontario (CEPEO) souhaite vous informer d’une récente cyberattaque sur notre réseau qui a conduit à la compromission des renseignements personnels de nos employés et d’autres personnes. 

Le matin du 18 octobre, nous avons appris que des acteurs inconnus avaient obtenu un accès non autorisé à notre réseau informatique. Le réseau a été resécurisé plus tard dans la journée et nous avons lancé une enquête avec l’aide d’experts en cybersécurité. Nous avons confirmé par la suite que les acteurs de la menace avaient pris un ensemble de fichiers stockés sur un serveur au bureau principal du conseil. La protection des membres de notre communauté était notre priorité. Nous avons donc effectué un paiement aux acteurs et nous avons reçu des déclarations indiquant que les données ont été supprimées. Nous fournissons néanmoins cette avis.

Si vous avez été à l’emploi du CEPEO à un moment quelconque après l’an 2000, vos informations personnelles ont pu être stockées sur le serveur. Nous utiliserons les coordonnées disponibles pour vous écrire personnellement dans la semaine qui suit si votre numéro d’assurance sociale, votre numéro de compte bancaire, votre numéro de carte de crédit non expirée ou votre date de naissance ont été compromis. Le cas échéant, nous vous fournirons également gratuitement un service de surveillance du crédit pour une période de 24 mois.

Un plus petit nombre d’élèves et de parents, actuels et anciens, ont été touchés. Nous analysons soigneusement les données et informerons les personnes concernées dans les meilleurs délais.

Nous demandons à tous les membres de notre communauté d’être vigilants. Comme toujours, vous devez faire attention aux courriels d’hameçonnage et aux autres communications suspectes et surveiller vos comptes financiers pour déceler tout signe d’utilisation frauduleuse. Pour obtenir d’autres conseils sur la façon de vous protéger contre les escroqueries et la fraude, veuillez consulter le site Web du Centre antifraude du Canada à l’adresse www.antifraudcentre-centreantifraude.ca

Si vous avez des questions ou des préoccupations particulières au sujet de cet incident, veuillez communiquer avec nous à cyberincident@cepeo.on.ca.

Nous vous présentons nos plus sincères excuses. Nous avons déjà pris des mesures pour améliorer la sécurité de notre réseau en raison de cet incident et nous mettrons en œuvre d’autres améliorations au fur et à mesure de notre examen de l’incident. Nous avons signalé cette affaire aux autorités policières ainsi qu’au Commissaire à l’information et à la protection de la vie privée de l’Ontario.  Enfin, nous vous rappelons que nous communiquerons directement avec les personnes les plus touchées.

Le Conseil des écoles publiques de l’Est de l’Ontario

FOIRE AUX QUESTIONS

Quand l’incident de violation des données a-t-il eu lieu ?

Nous avons été informés de la violation des données dans la matinée du lundi 18 octobre 2021.

Pourquoi a-t-il fallu si longtemps pour faire cette annonce ?

Nous avons consacré beaucoup de temps et d’efforts à confirmer exactement quelles données avaient été prises et à les analyser en vue de vous fournir cet avis.

Pendant combien de temps le réseau du CEPEO a-t-il été compromis ?

Nous avons commencé nos mesures de confinement du réseau quelques heures après la détection de la brèche et avant que les données ne soient cryptées par les acteurs de la menace.

Quelle quantité de données a été volée ?

Notre enquête confirme qu’environ 75 gigaoctets de données ont été volés.

Quel type d’informations personnelles a été volé ?

La plupart des données compromises sont internes au CEPEO et concernent des questions d’emploi ou d’administration. Toutefois, pour certains individus, ces données comprennent le numéro d’assurance sociale, le numéro de compte bancaire, le numéro de carte de crédit ou la date de naissance. Ces personnes seront avisées personnellement.

Une rançon a-t-elle été payée ?

Le CEPEO a effectué un paiement aux acteurs de la menace car il s’agissait de la meilleure chance que nous avions de sécuriser les données.

Comment pouvez-vous être sûr que les acteurs ont supprimé les données ?

Nous ne pouvons pas en être sûrs. Effectuer un paiement aux acteurs de la menace constituait la meilleure chance que nous avions de sécuriser les données.

Avez-vous des raisons de croire que les acteurs n’ont pas honoré leur parole ?

Non.

Quelle est la menace qui pèse sur moi ?

Nous vous encourageons à rester alerte. Comme toujours, faites attention aux courriels d’hameçonnage et aux autres communications suspectes et surveillez vos comptes financiers pour détecter tout signe de fraude.

Si je n’ai pas été informé personnellement, ai-je encore accès gratuitement à la surveillance du crédit ?

Bien que nous vous encouragions à être vigilants, nos efforts se sont concentrés sur les personnes dont les informations compromises comprenaient des données couramment utilisées pour un vol d’identité.

Puis-je vérifier si mes informations ont été compromises ?

Nos efforts sont axés sur l’identification des personnes dont les informations compromises comprenaient des données couramment utilisées pour un vol d’identité. Si vous souhaitez savoir si vos informations font partie des données volées, vous pouvez nous écrire, mais sachez que cela peut prendre un certain temps avant que nous vous répondions.

Qui le CEPEO a-t-il prévenu et y aura-t-il une enquête ?

Le CEPEO a signalé l’incident aux autorités policières et à la Commission de l’information et de la protection de la vie privée de l’Ontario. Ces deux institutions détermineront s’il y a lieu d’ouvrir une enquête. Le CEPEO coopérera pleinement avec toute enquête si une telle enquête est lancée.

Outre la surveillance de mes comptes financiers et l’observation des communications suspectes, que puis-je faire pour me protéger ?

Pour plus d’informations et de conseils sur la gestion des risques liés à la cybersécurité, veuillez consulter le Centre antifraude du Canada à l’adresse www.antifraudcentre-centreantifraude.ca.