Cyberincident

Mise à jour au sujet du cyberincident 

(15 h 20, le 18 décembre 2024)

Comme nous l'avons expliqué dans notre précédente publication concernant le cyberincident survenu en octobre dernier, nous devions poursuivre l'analyse des données volées afin de déterminer qui d'autre pourrait être concerné. Ce travail est désormais terminé, et nous avons identifié d'autres membres du personnel actuels et anciens qui ont été touchés. Aucun autre élève ni parent supplémentaire n'a été identifié comme étant touché à l'issue de la finalisation de notre examen des renseignements compromis.

Pour la majorité des personnes touchées, les renseignements récemment découverts comme ayant été compromis sont les résultats des tests COVID réalisés pendant la pandémie, associés à leur nom. Dans un plus petit nombre de cas, les renseignements personnels volés comprennent les noms, ainsi qu'un ou plusieurs des éléments suivants : les renseignements que vous nous avez fournis lors de votre processus de candidature d’emploi, les renseignements obtenus lors des vérifications des antécédents, les documents ou pièces d’identité délivrés par le gouvernement, les documents liés à l’emploi que vous avez signés, les talons de paie et l’état des réclamations en matière de sécurité au travail.

Toutes les personnes actuellement employées par le Conseil ont été informées de leur statut spécifique par courriel. Pour la majorité des anciens employés concernés, des notifications par courriel ou par la poste sont envoyées selon les coordonnées disponibles.

Pour plus d’informations, veuillez consulter notre précédente annonce. Et si ce n’est pas encore fait, nous invitons tous les membres du personnel actuels et anciens éligibles à s’inscrire au service de surveillance du crédit que nous avons mis à leur disposition. Si vous n’avez pas d’information sur la manière de vous inscrire à ce service ou si vous avez des questions, vous pouvez nous contacter à l’adresse suivante : cyberincident@csviamonde.ca

Annonce au sujet du cyberincident touchant le Conseil scolaire Viamonde

(11 h, le 14 novembre 2024)

Le 17 octobre dernier, le Conseil scolaire Viamonde annonçait avoir été touché par un cyberincident. Malheureusement, l’enquête a révélé que les auteurs à l’origine de cette cyberattaque ont volé des renseignements personnels concernant des membres de la communauté Viamonde. Tel que nous le décrivons avec plus de détails dans les sections ci-bas, les personnes concernées par l’incident peuvent être des membres du personnel (actuels et passés), des membres élus du conseil, des élèves, ainsi que leurs parents. Cette annonce a pour but d'aviser les personnes concernées par l’incident ainsi que de fournir des informations sur le service de surveillance du crédit que nous fournirons aux employés et anciens employés concernés. 

Notification aux membres du personnel actuels et passés 

Sont touchés par l’incident les membres du personnel actuellement à l’emploi du Conseil, ainsi que ceux qui ont travaillé pour le Conseil entre 2002 et 2024, incluant les membres élus du conseil. Les membres du personnel des organisations partenaires suivantes, employés ou ayant été employés pendant cette même période, sont également touchés: Centre d’excellence SAP, Service de transport Francobus, l’Association des conseils scolaires des écoles publiques de l'Ontario (ACÉPO) et le Centre d’excellence en approvisionnement FRANCOachat. Les employés à temps plein et ceux à contrat de courte durée sont visés.  

La majorité des membres du personnel décrits ci-haut sont impactés par l’exposition de leur numéro d’assurance sociale, leur date de naissance, leur genre, leur adresse postale, leur numéro de téléphone, leur adresse électronique (si elle est enregistrée), leur numéro d’employé et le titre du poste occupé. Les numéros d’assurance sociale des employés embauchés après le 1er septembre 2023 n’ont vraisemblablement pas été exposés. Le salaire et la rémunération, des informations sur les congés (type et date de début), les dossiers de formation, les informations de détachement en prêt de service, des données d’assiduité (absences et présences) et la date de départ à la retraite des membres du personnel actuels et passés font également partie des données compromises. En réponse à l’incident, le Conseil fournira gratuitement à ces membres du personnel un service de surveillance du crédit avec TransUnion® d’une durée de deux ans. Ce service permet de surveiller les signes éventuels de fraude identitaire, de manière à ce que les adhérents puissent réagir en cas de tentative d’usurpation d’identité. 

Le Conseil enverra des informations complémentaires sur ce service par courrier à tous les anciens membres du personnel ayant été employés entre 2019 et 2024. Les membres du personnel actuels recevront, quant à eux, ces informations à leur adresse courriel professionnelle. 

Les autres personnes éligibles (les membres du personnel ayant œuvré au Conseil depuis 2002 mais qui ont quitté avant 2019) et qui souhaitent bénéficier du service de surveillance de crédit sont invitées à contacter le Conseil à l’adresse courriel cyberincident@csviamonde.ca, en fournissant les informations suivantes : prénom, nom, dernier bureau ou dernière école du Conseil où vous avez travaillé, période d’emploi, et le poste occupé (par exemple, Lucie Lacombe, Académie Alexandre-Dumas, 2000-2012, Enseignante). 

Notification aux élèves et aux parents 

Cet incident a aussi touché des élèves inscrits dans les écoles élémentaires et secondaires. 

Tous les élèves fréquentant actuellement une école du Conseil sont probablement concernés par l'exposition des renseignements suivants : nom, numéro d'immatriculation scolaire de l'Ontario (NISO), date de naissance, genre, informations de fréquentation scolaire (nom de l’école, classe, nom du titulaire). En outre, les élèves inscrits dans les écoles suivantes (durant les années indiquées) sont également visés par la même exposition de renseignements : 

  • Collège français (2023-2024) 
  • École secondaire Étienne-Brûlé (2023-2024) 
  • École secondaire de Lamothe-Cadillac (2023-2024) 
  • École élémentaire LaMarsh (2023-2024) 
  • Académie de la Pinède (2023-2024) 
  • École élémentaire Les Rapides (2023-2024) 
  • École élémentaire Nouvel-Horizon (2022-2023, 2023-2024) 
  • École élémentaire Patricia-Picknell (2023-2024) 
  • École secondaire Roméo-Dallaire (2020-2021, 2022-2023, 2023-2024) 

De plus, certains renseignements fournis par les clients ayant effectué un achat ou plus sur le Guichet Viamonde/SchoolDay entre 2017 et 2023, ont probablement été exposés. Ces renseignements incluent le nom de l’élève concerné par l’achat, son numéro d'élève, le nom de la personne ayant effectué la transaction, le type d'achat, et le montant de l'achat. Aucun compte bancaire et aucune carte de crédit n’ont été compromis. 

En ce moment, rien ne porte à croire que les adresses à domicile des élèves et de leurs parents, tutrices et tuteurs ont été exposées. 

Comment puis-je me protéger ? 

Il est déplorable que nos institutions publiques soient si fréquemment ciblées par des cybercriminels, exposant ainsi nos renseignements personnels de manière répétée. Cela souligne la nécessité d’une vigilance constante pour assurer notre protection. 

Si vous êtes éligible au service de surveillance de crédit, nous vous encourageons vivement à vous y inscrire. C’est une excellente façon de vous prémunir contre le vol d’identité. Nous devons également rester vigilants face aux tentatives de phishing et autres communications suspectes, et vérifier régulièrement nos relevés de compte afin de repérer toute transaction non autorisée. Le Centre antifraude du Canada met également à disposition des informations supplémentaires sur les mesures de protection. 

Et après ? 

À nouveau, nous sommes conscients que cet incident a affecté notre communauté de manière directe, et nous en sommes profondément désolés. Notre enquête se poursuit et nous pourrions devoir notifier d’autres personnes ou envoyer des lettres de notification pour traiter des circonstances spécifiques. Nous visons à compléter cela prochainement. Nous nous engageons également à renforcer notre programme de cybersécurité pour mieux nous protéger contre de futurs incidents. 

Entre temps, nous avons signalé l’incident au Service de police de Toronto et au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP). Vous avez le droit de porter plainte auprès du CIPVP, bien qu'il ne soit pas requis de le faire étant donné que nous lui avons déjà rapporté l’incident volontairement. 

Pour plus d’informations, veuillez écrire à l’adresse cyberincident@csviamonde.ca ou visiter notre Foire aux questions.  

Foire aux questions

Notre enquête est en cours. Nous la mènerons à terme et nous nous engageons à renforcer notre programme de cybersécurité pour mieux nous protéger contre de futurs incidents. 

Nos experts continuent de surveiller la situation. Il est possible que les cyberattaquants publient sur le Web les données qu’ils ont volées.  

Nous poursuivons notre enquête et il se pourrait que nous devions aviser d'autres personnes ou envoyer des lettres de notification pour traiter des circonstances spécifiques. Nous visons à achever cette démarche prochainement. 

Nous offrons aux employés et anciens employés concernés un service de surveillance de crédit de deux ans auprès de TransUnion. Ce service permet de détecter les signes de fraude identitaire afin de prendre des mesures de protection. L'inscription à ce service est l'un des meilleurs moyens de se protéger. Vous pouvez configurer des alertes pour être informé si quelqu'un tente d'ouvrir un compte de crédit en votre nom. 

Une alerte à la fraude est un avertissement que vous pouvez ajouter à votre rapport de crédit pour avertir les prêteurs potentiels que vous pourriez être victime de fraude. Cela peut les inciter à prendre des mesures supplémentaires pour vérifier l'identité. Comme l’alerte de fraude peut provoquer des retards dans les transactions, la décision de la placer vous appartient. Placer une alerte à la fraude sur votre dossier TransUnion est gratuit. Vous pouvez également choisir d'ajouter une alerte sur votre dossier de crédit Equifax. Nous vous invitons à en discuter avec les agents du service à la clientèle de ces deux principaux bureaux de crédit. 

S'inscrire au service de surveillance de crédit est l'un des meilleurs moyens de se protéger. Nous ne recommandons pas aux employés et anciens employés de tenter de changer leurs numéros de compte bancaire ou autres numéros d'identification. Les numéros d'assurance sociale ne peuvent être changés sans preuve qu’un usage frauduleux avéré. 

Avoir les deux services est en grande partie redondant. 

Étant donné la prévalence des cyberattaques et du vol de données, l'impact d'un incident isolé est difficile à évaluer. Dans ce contexte, de nombreuses organisations offrent un service de surveillance du crédit d’un an. Nous avons choisi de fournir deux ans de service, ce qui nous semble juste. 

Si vous avez un problème de vol d'identité que vous pensez être lié à cet incident, veuillez-nous en informer immédiatement à l’adresse cyberincident@csviamonde.ca. Une assurance est également disponible pour les adhérents à un programme de surveillance de crédit, ce qui constitue une autre raison de souscrire à ce type de service. 

Non, cela n'affectera pas votre cote de crédit. 

Les informations exposées concernant les élèves et les parents sont plus limitées que celles des employés et anciens employés.  De plus les personnes qui n’ont pas atteint l’âge de la majorité ne sont pas éligibles à la surveillance de crédit. 

Les membres du personnel concernés qui ne sont plus à l’emploi, mais qui ont œuvré au sein du Conseil entre 2019 et 2024, recevront une lettre par la poste afin de les informer de la disponibilité de ce service et de la façon de procéder pour s’en prévaloir.  

Si vous avez travaillé au Conseil avant 2019 et que vous aimeriez bénéficier du service de surveillance de crédit, vous devez en faire la demande par courriel à l’adresse cyberincident@csviamonde.ca et fournir les informations suivantes : prénom, nom, dernier bureau ou dernière école dans laquelle vous avez travaillé, période d’emploi, et le poste occupé (par exemple : Lucie Lacombe, Académie Alexandre-Dumas, 2000-2012, Enseignante). 

Ce numéro fait partie des informations relatives aux élèves, mais n’est pas utilisé pour valider son identité lors de demandes de nature financière, comme les demandes de prêts et bourses, par exemple. Ce numéro permet de suivre la trace des élèves inscrits dans le système d’éducation ontarien, mais n’est pas un renseignement suffisant pour effectuer une quelconque transaction, présenter une demande, ouvrir un dossier ou se connecter à une plateforme ou à un système.

Mises à jour au sujet d'un cyber incident affectant les systèmes informatiques et réseaux du Conseil scolaire Viamonde

(16 h, le 31 octobre 2024)

Le Conseil scolaire Viamonde est heureux d’annoncer qu’en date du 31 octobre, les connexions à Internet ont été rétablies dans toutes ses écoles et que les réseaux téléphoniques sont maintenant opérationnels.

Ces services étaient suspendus depuis l’avènement d’un cyber incident, le 17 octobre dernier.

Certaines applications, la plupart pour usage administratif, sont toujours indisponibles. Nos équipes travaillent à leur remise en service dès que possible.

Merci de votre compréhension et de votre collaboration.

(11 h  - 29 octobre 2024)

Mise à jour sur l'incident affectant les systèmes informatiques du Conseil

Nous saluons la patience de nos élèves et des membres du personnel alors que nous travaillons toujours à la reconnexion de nos écoles à Internet et à la remise en service des systèmes affectés par un cyber incident, depuis maintenant plus d’une semaine.

Alors que nous prenons très au sérieux la sécurité de nos infrastructures, de notre parc informatique et la protection de nos données, nous collaborons avec des experts en cybersécurité pour mener une enquête sur les causes et les impacts de cet incident, ainsi que pour veiller à une éventuelle remise en service sécuritaire de nos systèmes.

Si tout se passe bien, nous espérons être en mesure de rebrancher les écoles à Internet de façon graduelle au cours de la semaine.

Entretemps, nous souhaitons réitérer notre appréciation envers les membres du personnel qui font preuve de créativité et d’adaptation pour que les apprentissages se poursuivent, malgré un accès restreint à leurs ressources technologiques.

(19 h 15 - 20 octobre 2024)

Mise à jour aux familles concernant le cyber incident touchant le Conseil scolaire Viamonde

Le Conseil confirme que les écoles seront ouvertes le lundi 21 octobre et que les cours seront dispensés comme à l’habitude, malgré que certains de ses systèmes informatiques soient toujours hors service. Si vous devez communiquer avec l’école de vos enfants pour motiver une absence ou pour toute question non urgente, veuillez s.v.p. utiliser l’adresse courriel générale de l’école, qui vous a été fournie la semaine dernière (aussi disponible sur la page de l’école à https://csviamonde.ca/nos-ecoles/trouver-une-ecole)

En cas d’urgence, vous pourrez également utiliser le numéro de téléphone temporaire, partagé dans la communication envoyée par l’école, vendredi.

Merci de votre collaboration.

Source :
Service des communications
Conseil scolaire Viamonde
communications@csviamonde.ca

---

(15 h 45 - 18 octobre 2024)

Le Conseil scolaire Viamonde confirme que la panne de ses systèmes informatiques, qui sévit depuis ce jeudi 17 octobre, est due à un cyber incident.

Des mesures ont été prises pour protéger son réseau, ce qui entraîne une perturbation des services technologiques dans ses écoles et bureaux. Toutefois, les écoles restent ouvertes et les cours sont livrés comme à l’habitude.

À l’heure actuelle, Viamonde procède à une évaluation complète des impacts de cet incident sur ses systèmes et travaille activement à leur remise en service. De plus, une enquête est en cours pour déterminer l’origine et les causes de cette cyberattaque. Les services informatiques du Conseil se sont rapprochés d'une équipe experte en cybersécurité pour mener à bien cette opération.

Pour le moment, rien n’indique que des données privilégiées pour le Conseil ou que des données personnelles aient été compromises. Si la situation change, le Conseil veillera à en informer la communauté.

Viamonde remercie les membres de sa communauté pour leur compréhension et leur patience pendant qu'il continue à gérer cette situation avec le plus grand soin. Noter que même si le Conseil travaille à rétablir les services dès que possible, cela pourrait prendre un certain temps. Des mises à jour sur la situation seront publiées périodiquement à l’adresse : https://csviamonde.ca/cyberincident 

Source :
Service des communications
Conseil scolaire Viamonde
communications@csviamonde.ca