Cyberincident

Pour toutes demandes médias au sujet de nos écoles, veuillez communiquer avec l’équipe des communications aux coordonnées suivantes :

Téléphone: 613-742-8960

Courriel : medias@cepeo.on.ca

AccueilCyberincident

Déclaration du CEPEO concernant un incident de cybersécurité

Mise à jour : le jeudi 3 mars 2022

En novembre 2021, le Conseil des écoles publiques de l’Est de l’Ontario (CEPEO) a révélé avoir subi une cyberattaque sur son réseau informatique. Cette situation a mené à la compromission d’informations personnelles de nos employés et d’autres personnes. Au cours des dernières semaines, un certain nombre d’employés actuels et anciens qui ont été touchés par l’incident en ont été informés personnellement et directement.

Nous vous informons aujourd’hui que des élèves, anciens élèves et parents dont les informations personnelles ont également été compromises.

Ce constat a été fait après une analyse approfondie visant à confirmer exactement quelles données avaient été prises. Il s’agissait d’un exercice long et très complexe, ce qui explique pourquoi nous n’avons pas pu vous en informer plus tôt.

Nous souhaitons que tous les membres de notre communauté comprennent qu’à la suite de cet incident, nous avons apporté un bon nombre d’améliorations à notre protocole de sécurité existant. Ces améliorations comprennent l’adoption d’une authentification multifactorielle, le renforcement de notre politique en matière de mots de passe, l’adoption de paramètres réseau plus restrictifs et la mise en œuvre d’un nouveau logiciel de surveillance du réseau plus puissant.

Nous avons également créé un comité directeur de la gestion et de la sécurité de l’information dont la responsabilité englobe la sécurité, la gestion de l’information et la protection de la vie privée. Nous avons aussi approuvé la création de deux postes supplémentaires au sein de notre équipe des technologies de l’information, dont les fonctions soutiendront notre programme de sécurité informatique.

Si vous avez des questions ou des préoccupations particulières au sujet de cet incident, veuillez communiquer avec nous à cyberincident@cepeo.on.ca

Encore une fois, nous vous présentons nos plus sincères excuses. Nous vous remercions de votre soutien et de votre compréhension.

Le  Conseil des écoles publiques de l’Est de l’Ontario

Déclaration du 30 novembre 2021

Le mardi 30 novembre 2021

Le Conseil des écoles publiques de l’Est de l’Ontario (CEPEO) souhaite vous informer d’une récente cyberattaque sur notre réseau qui a conduit à la compromission des renseignements personnels de nos employés et d’autres personnes. 

Le matin du 18 octobre, nous avons appris que des acteurs inconnus avaient obtenu un accès non autorisé à notre réseau informatique. Le réseau a été resécurisé plus tard dans la journée et nous avons lancé une enquête avec l’aide d’experts en cybersécurité. Nous avons confirmé par la suite que les acteurs de la menace avaient pris un ensemble de fichiers stockés sur un serveur au bureau principal du conseil. La protection des membres de notre communauté était notre priorité. Nous avons donc effectué un paiement aux acteurs et nous avons reçu des déclarations indiquant que les données ont été supprimées. Nous fournissons néanmoins cette avis.

Si vous avez été à l’emploi du CEPEO à un moment quelconque après l’an 2000, vos informations personnelles ont pu être stockées sur le serveur. Nous utiliserons les coordonnées disponibles pour vous écrire personnellement dans la semaine qui suit si votre numéro d’assurance sociale, votre numéro de compte bancaire, votre numéro de carte de crédit non expirée ou votre date de naissance ont été compromis. Le cas échéant, nous vous fournirons également gratuitement un service de surveillance du crédit pour une période de 24 mois.

Un plus petit nombre d’élèves et de parents, actuels et anciens, ont été touchés. Nous analysons soigneusement les données et informerons les personnes concernées dans les meilleurs délais.

Nous demandons à tous les membres de notre communauté d’être vigilants. Comme toujours, vous devez faire attention aux courriels d’hameçonnage et aux autres communications suspectes et surveiller vos comptes financiers pour déceler tout signe d’utilisation frauduleuse. Pour obtenir d’autres conseils sur la façon de vous protéger contre les escroqueries et la fraude, veuillez consulter le site Web du Centre antifraude du Canada à l’adresse www.antifraudcentre-centreantifraude.ca

Si vous avez des questions ou des préoccupations particulières au sujet de cet incident, veuillez communiquer avec nous à cyberincident@cepeo.on.ca.

Nous vous présentons nos plus sincères excuses. Nous avons déjà pris des mesures pour améliorer la sécurité de notre réseau en raison de cet incident et nous mettrons en œuvre d’autres améliorations au fur et à mesure de notre examen de l’incident. Nous avons signalé cette affaire aux autorités policières ainsi qu’au Commissaire à l’information et à la protection de la vie privée de l’Ontario.  Enfin, nous vous rappelons que nous communiquerons directement avec les personnes les plus touchées.

Le Conseil des écoles publiques de l’Est de l’Ontario

FOIRE AUX QUESTIONS

Quand l’incident de violation des données a-t-il eu lieu ?

Nous avons été informés de la violation des données dans la matinée du lundi 18 octobre 2021.

Pourquoi a-t-il fallu si longtemps (plus de trois mois !) avant de m’informer ?

Nous avons consacré beaucoup de temps et d’efforts à confirmer exactement quelles données ont été prises et à les analyser en vue de vous fournir cet avis.  Malheureusement, c’est un exercice très complexe qui requiert beaucoup de temps.

Pendant combien de temps le réseau du CEPEO a-t-il été compromis ?

Nous avons commencé nos mesures de confinement du réseau quelques heures après la détection de la brèche et avant que les données ne soient cryptées par les acteurs de la menace.

Quelle quantité de données a été volée ?

Notre enquête confirme qu’environ 75 gigaoctets de données ont été volés.

Quel type d’informations personnelles a été volé ?

La plupart des données compromises sont internes au CEPEO et concernent des questions d’emploi ou d’administration. Toutefois, pour certains individus, ces données comprennent le numéro d’assurance sociale, le numéro de compte bancaire, le numéro de carte de crédit ou la date de naissance. Ces personnes seront avisées personnellement.

Quel type d’informations personnelles des élèves a été volé ?

Un large éventail de documents a été volé, et les élèves ont été affectés de différentes manières. Les informations exposées comprennent le numéro d’immatriculation scolaire de l’Ontario, le numéro d’étudiant, des informations sur les résultats scolaires (notes) et d’autres types d’informations. Nous informons individuellement les élèves concernés et nous fournirons des détails dans ces notifications.

Une rançon a-t-elle été payée ?

Le CEPEO a effectué un paiement aux acteurs de la menace car il s’agissait de la meilleure chance que nous avions de sécuriser les données.

Comment pouvez-vous être sûr que les acteurs ont supprimé les données ?

Nous ne pouvons pas en être sûrs, mais le temps a passé et nous n’avons aucune raison de croire que les données n’ont pas été supprimées.

Avez-vous des raisons de croire que les acteurs n’ont pas honoré leur parole ?

Non.

Quelle est la menace qui pèse sur moi ?

Nous vous encourageons à rester en alerte.  Comme toujours, faites attention aux courriels d’hameçonnage et autres communications suspectes et surveillez vos comptes financiers pour détecter tout signe d’abus.  Pour plus d’informations et de conseils sur la gestion des risques liés à la cybersécurité, veuillez consulter le Centre antifraude du Canada à l’adresse www.antifraudcentre-centreantifraude.ca.

Si je n’ai pas été informé personnellement, ai-je encore accès gratuitement à la surveillance du crédit ?

Bien que nous vous encouragions à être vigilants, nos efforts se sont concentrés sur les personnes dont les informations compromises comprenaient des données couramment utilisées pour un vol d’identité.

Puis-je vérifier si mes informations ont été compromises ?

Nos efforts sont axés sur l’identification des personnes dont les informations compromises comprenaient des données couramment utilisées pour un vol d’identité. Si vous souhaitez savoir si vos informations font partie des données volées, vous pouvez nous écrire, mais sachez que cela peut prendre un certain temps avant que nous vous répondions.

Qui le CEPEO a-t-il prévenu et y aura-t-il une enquête ?

Le CEPEO a signalé l’incident aux autorités policières et à la Commission de l’information et de la protection de la vie privée de l’Ontario.  Ils détermineront s’il y a lieu d’ouvrir une enquête.  Le CEPEO coopérera pleinement avec toute enquête, si une telle enquête est lancée.

Outre la surveillance de mes comptes financiers et l’observation des communications suspectes, que puis-je faire pour me protéger ?

Pour plus d’informations et de conseils sur la gestion des risques liés à la cybersécurité, veuillez consulter le Centre antifraude du Canada à l’adresse www.antifraudcentre-centreantifraude.ca.

Allez-vous communiquer une copie de votre rapport de cybersécurité ?

Notre rapport de cybersécurité est privilégié et confidentiel. Nous avons cependant partagé les faits essentiels au sujet de cet incident.

Pourquoi le CEPEO avait-il encore des données sur des anciens élèves, parents ou clients remontant à l’an 2000 ?

Cet incident soulève une question sur les pratiques de conservation des données, en particulier en ce qui concerne notre serveur de fichiers. Notre comité directeur de la gestion et de la sécurité de l’information, nouvellement créé, traitera cette question en priorité.

Quelles mesures le conseil a-t-il prises pour améliorer la sécurité de son réseau ?

Nous avons apporté un bon nombre d’améliorations à notre protocole de sécurité qui aideront à prévenir que cela ne se reproduise.  Ces améliorations comprennent l’adoption d’une authentification multifactorielle, le renforcement de notre politique en matière de mots de passe, l’adoption de paramètres réseau plus restrictifs et la mise en œuvre d’un nouveau logiciel de surveillance du réseau plus puissant.

Nous avons également créé un comité directeur de la gestion et de la sécurité de l’information dont la responsabilité englobe la sécurité, la gestion de l’information et la protection de la vie privée, et nous avons approuvé le financement de deux postes supplémentaires dans le domaine des technologies de l’information, dont les fonctions soutiendront notre programme de sécurité informatique.

Puis-je me plaindre auprès du commissaire à la protection de la vie privée ?

Vous pouvez vous renseigner à ce sujet sur le site www.ipc.on.ca