•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Victime d’une cyberattaque, le CEPEO a décidé de payer une rançon

Une main pianote sur un clavier d'ordinateur.

Le CEPEO a été victime d'une cyberattaque en octobre (archives).

Photo : Reuters / Kacper Pempel

Radio-Canada

Le Conseil des écoles publiques de l'Est de l'Ontario (CEPEO) a été la victime d’une cyberattaque le 18 octobre dernier. Et pour éviter que les données subtilisées ne soient vendues, le Conseil a décidé de payer une rançon.

Dans une déclaration écrite, mardi, le conseil scolaire francophone explique que son réseau a été victime d’une cyberattaque ayant compromis des renseignements personnels de ses employés et d'autres personnes.

Pour la grande majorité, ce sont des employés actuellement à l’emploi ou qui l’ont été quelque temps, de l’an 2000 à aujourd’hui. Il y a aussi eu des données de quelques élèves et de quelques parents. L’analyse des données et des fichiers est encore en cours pour avoir un meilleur portrait, mais on sait que la majeure partie concerne le personnel, a expliqué Sylvie Tremblay, directrice de l'éducation au Conseil des écoles publiques de l’Est de l’Ontario, en entrevue à l’émission Sur le vif.

Les renseignements compromis pourraient être particulièrement sensibles, reconnaît Mme Tremblay.

Dans le cas des employés, ça pourrait aller jusqu’à des numéros d’assurance sociale, des numéros de compte bancaire, des numéros de cartes de crédit ou encore une date de naissance.

Sylvie Tremblay sourit à la caméra.

Sylvie Tremblay, directrice de l'éducation au CEPEO (archives)

Photo : Radio-Canada / Frédéric Pepin

Au total, 75 giga-octets de données ont été subtilisés avant que le Conseil des écoles publiques de l’Est de l’Ontario n’intervienne, précise-t-elle.

L'incident a été détecté le matin du 18 octobre, explique le conseil scolaire dans sa déclaration écrite.

Le réseau a été resécurisé plus tard dans la journée, et nous avons lancé une enquête avec l'aide d'experts en cybersécurité. Nous avons confirmé par la suite que les acteurs de la menace avaient pris un ensemble de fichiers stockés sur un serveur au bureau principal du conseil.

Cette intervention a permis d’éviter un vol de données additionnelles, souligne la directrice de l'éducation. Mais des données se trouvaient tout de même déjà menacées.

La meilleure décision, justifie le conseil

Et face à la menace, le conseil scolaire a décidé d’effectuer un paiement aux acteurs.

Après mûre réflexion et analyse de tous les risques et des enjeux, on a pris la décision de payer la rançon, car c’était la meilleure façon qu’on avait de garantir que les pirates ne rendent pas les données personnelles publiques ou ne les mettent pas à la disposition d’autres personnes, sur le dark web ou ailleurs, qui pourraient s’en prévaloir pour commettre, entre autres, un vol d’identité, justifie la directrice de l’éducation du Conseil des écoles publiques de l’Est de l’Ontario.

Les données auraient ainsi été détruites, selon Mme Tremblay.

On a appris à travers cette expérience-là qu’il y a un code d’honneur parmi les pirates informatiques et que lorsqu’une organisation décide de payer la rançon, le code d’honneur fait en sorte que les pirates ne procéderont pas au vol de l’information puisque ça viendrait déjouer la stratégie globale en matière de piratage de données, assure-t-elle. On a quand même reçu certaines évidences qu’ont fournies les pirates à l’effet que les données ont été détruites, mais on n’est pas naïfs non plus et c’est la raison pour laquelle on procède à la notification de masse que nous avons faite aujourd’hui.

Le Conseil des écoles publiques de l’Est de l’Ontario a décidé d’offrir un service de surveillance du crédit pendant deux ans aux personnes dont les renseignements les plus sensibles ont été visés. Le conseil s’engage à communiquer prochainement avec chacune d’entre elles.

Plusieurs autres mesures ont aussi été mises en place, selon Mme Tremblay, pour prévenir toute nouvelle attaque. Une réflexion est également en cours pour améliorer encore le système.

On va se pencher notamment sur la question de la gestion de l’information dans notre conseil pour se donner des paramètres sur quel type de données on garde, pendant combien de temps, comment elles sont entreposées. [...] On va faire tout ce qui doit être fait pour réduire au minimum les risques pour qu’un incident comme celui-là se reproduise.

Au moment d’écrire ses lignes, le Conseil des écoles publiques de l’Est de l’Ontario n’avait pas répondu à la demande d’ICI Ottawa-Gatineau concernant les coûts de cet incident.

Il y a des coûts évidemment. Comme conseil, on a une assurance pour ce genre d’incident. Mais au-delà de l’argent, nous sommes vraiment désolés, a indiqué Mme Tremblay en entrevue.

Commentaires fermés

L’espace commentaires est fermé. Considérant la nature sensible ou légale de certains contenus, nous nous réservons le droit de désactiver les commentaires. Vous pouvez consulter nos conditions d’utilisation.