C'est par le biais d'un communiqué de presse, une note interne au personnel et un message à d'anciens employés que le CEPEO a révélé mardi avoir été victime de cette cyberattaque majeure.
Tout aurait commencé il y a un mois et demi, le 18 octobre, lorsque le conseil scolaire aurait appris que des acteurs inconnus avaient infiltré son réseau informatique.
«Le réseau a été resécurisé plus tard dans la journée, et nous avons lancé une enquête avec l'aide d'experts en cybersécurité. Nous avons confirmé par la suite que les acteurs de la menace avaient pris un ensemble de fichiers stockés sur un serveur au bureau principal du conseil. La protection des membres de notre communauté était notre priorité. Nous avons donc effectué un paiement aux acteurs, et nous avons reçu des déclarations indiquant que les données ont été supprimées. Nous fournissons néanmoins cet avis», indique le CEPEO.
Grande ampleur
L'ampleur de l'attaque informatique est telle, indique-t-on, que quiconque ayant été à l'emploi de l'organisation depuis le tournant du nouveau millénaire pourrait avoir vu ses données personnelles être subtilisées puisqu'elles pouvaient être stockées dans le serveur du CEPEO. Avec les dernières coordonnées qu'elle a en sa possession, l'organisation informera les personnes concernées dans les jours à venir si leur numéro d'assurance sociale, leur date de naissance, un numéro de carte de crédit non expiré ou un numéro de carte bancaire a été compromis.
En entrevue avec Le Droit, la directrice de l'éducation, Sylvie Tremblay, affirme qu'il fallait lancer un appel au public pour que le plus de gens possible puissent être informés et aux aguets, afin «d'activer une vigilance accrue par rapport à leurs données personnelles».
À ce moment-ci, on pense qu'il peut y avoir quelques milliers de personnes touchées. Par mesure de prudence, on a décidé d'élargir l'avertissement, parce que les précisions vont venir dans la prochaine semaine.
«Depuis 2000, le Conseil a quand même embauché beaucoup de personnes. [...] On a envoyé cet avis-là en fonction des coordonnées qu'on a, certains ne sont plus à notre emploi et nous n'avons peut-être pas leur courriel personnel, alors c'est pour cela qu'on passe par les médias aussi. [...] Ce sont des informations qui peuvent servir à des vols d'identité, alors nous allons offrir gratuitement un service de surveillance du crédit pour 24 mois [aux gens affectés]», soutient-elle.
On ignore autant la provenance que le groupe auquel pourrait être rattaché les pirates informatiques qui ont perpétré cette attaque visant ce conseil scolaire francophone dont le territoire s'étend de l'Est ontarien à Trenton en passant par Ottawa.
Six longues semaines
Pourquoi le CEPEO, qui emploie à l'heure actuelle plus de 5000 employés, dont 3000 permanents, a-t-il attendu six semaines avant de révéler au grand jour cette cyberattaque?
«On sait que les auteurs de cette menace, comme on les appelle, ont volé environ 75 gigaoctets de données, alors ça représente des milliers de fichiers. Pour être en mesure de faire l'analyse de toutes ces données-là, pour bien organiser la suite des choses, ç'a pris le temps que ç'a pris. Différentes équipes se sont penchées là-dessus, on a embauché des experts pour avoir une idée juste de l'ampleur de la chose, de la nature des données et tout le reste», répond Mme Tremblay.
Un faible nombre d'élèves et de parents, actuels ou anciens, ont également été touchés. Dans leur cas, l'analyse de la situation se poursuit et des informations additionnelles leur seront transmises prochainement le cas échéant, mais on estime pour l'heure qu'il n'y a pas de raison de croire qu'il s'agit de données sensibles dans leur cas.
La rançon payée
Prétextant que les experts étaient d'avis qu'il s'agissait de la meilleure stratégie pour s'assurer que les pirates informatiques ne rendent pas publiques les informations confidentielles sur lesquelles ils ont mis la main, le CEPEO a versé une rançon aux malfaiteurs. Il refuse cependant d'en révéler la somme ni même la moindre estimation.
En fonction des experts-conseils qui nous accompagnaient, payer la rançon était la façon la plus sûre de s'assurer que les auteurs [de la cyberattaque] ne rendent pas les données publiques; mais de sécuriser les données. On a agi de la manière la plus responsable possible pour protéger les données des gens.
Appelant toute la communauté à la prudence, notamment face aux courriels d'hameçonnage et en surveillant tout signe d'utilisation frauduleuse des comptes financiers, l'organisation affirme avoir signalé cet incident à la fois aux autorités policières et au commissaire à l'information et à la protection de la vie privée de l'Ontario.
«Mesures en place»
Mme Tremblay assure que l'analyse de cette situation problématique est considérée comme une priorité et qu'on n'hésitera pas à apporter les améliorations nécessaires au système informatique.
«Il y a déjà des mesures en place, d'autres sont à venir. Ça va nous permettre d'avoir un regard critique [...], de transformer certaines de nos pratiques. On va faire un post mortem et faire les changements nécessaires qui s'imposent pour réduire les risques de revivre un tel événement. [...] Les membres de mon équipe et moi sommes très désolés de ce qui se passe. J'ai moi-même été touchée par l'attaque chez Desjardins (vol de données majeur en 2019) et j'ai trouvé qu'ils avaient bien géré les choses. Aucun système de sécurité n'est infaillible, mais j'avais trouvé ça responsable de leur part d'offrir un service de surveillance. On fait la même chose. On n'est jamais heureux de ce genre d'événement. En tant que directrice de la boîte, je vais veiller à ce que toutes les améliorations soient mises en place. C'est important que les gens aient confiance en nous, qu'on soit signe de confiance», indique-t-elle.
Quiconque aurait questions au sujet de cet incident peut consulter le cepeo.on.ca/cyberincident ou écrire à l'adresse cyberincident@cepeo.on.ca.
L'Association des enseignantes et enseignants franco-ontariens (AEFO), syndicat qui représente quelque 13 000 membres dont 1800 au CEPEO, s'est abstenu de commenter le dossier, prétextant qu'Il ne se prononcerait pas sur une situation qui relève du conseil scolaire.
Pour l'expert en cybersécurité et président d'In-Sec-M, Antoine Normand, payer une rançon est devenue monnaie courante pour plus de 80% des organisations victimes de cyberattaques, rappelant que plusieurs assureurs couvrent ce genre d'incident mais que les primes sont nécessairement de plus en plus en hausse. Selon lui, il y a à la fois des avantages et des désavantages.
«Il est d'ailleurs recommandé de toujours négocier avec les pirates pour savoir ce qu'ils détiennent, jusqu'à quel point on s'est compromis. Avec une rançon, la deuxième question, par contre, c'est jusqu'à quel point on peut leur (les malfaiteurs) faire confiance de nous redonner les données. Les différents pirates n'ont pas tous la même réputation. Dans certains cas, ils vont quand même rendre publiques les informations ou les vendre à un tiers pour faire de la fraude. Le fait de payer (une rançon) envoie aussi un message, ils pourraient donc être attaqués de nouveau. Il (le CEPEO) a donc fortement intérêt à beaucoup améliorer son système car il va maintenant être une cible privilégiée», note-t-il.
M. Normand indique que plusieurs organisations ontariennes ont été ciblées ces derniers mois.
«Ce sont toutes des organisations qui ont les moyens financiers mais qui généralement ont sous-investi dans leurs infrastructures informatiques», ajoute-t-il.
Rappelons que deux autres organisations publiques de la région de la capitale nationale, soit la Société de transport de l'Outaouais (STO) et la Cité de Clarence-Rockland, ont aussi été victimes de cyberattaques cet automne.
