La DSFM fait un point sur l'incident de cybersécurité récemment subi chez notre fournisseur PowerSchool. Dans nos mises à jour précédentes au sujet de l’incident, nous avons mentionné que PowerSchool enverrait des courriels aux élèves, aux parents/tuteurs et aux enseignants.es dont les renseignements ont été touchés dans le cadre de l’incident. Nous comprenons que des membres de la DSFM ont déjà reçu ce courriel de PowerSchool et d’autres pourraient le recevoir dans les prochains jours.
PowerSchool a indiqué que le courriel a été ou sera envoyé à partir de l’une des adresses courriel suivantes, qui sont similaires : [email protected]; [email protected]; ou [email protected]. PowerSchool nous a confirmé que si vous recevez ou avez reçu un courriel de l’une de ces adresses courriel avec l’objet « PowerSchool Cybersecurity Incident », ce courriel est légitime. Le courriel comprend des renseignements sur la façon d’activer les services de protection de l’identité et/ou de surveillance du crédit qui vous sont offerts pour une période de deux ans. Vous trouverez ci-joint un exemple de courriel similaire à celui de PowerSchool, mais sachez qu’il pourrait y avoir des différences entre cet exemple et le courriel que vous avez reçu ou recevrez.
Que vous receviez ou non le courriel de PowerSchool, vous pouvez également consulter le site Web de PowerSchool pour savoir comment activer les services de protection de l’identité et/ou de surveillance du crédit. Le site Web de PowerSchool contient également des renseignements en français. Si vous êtes en mesure d’utiliser des services de surveillance du crédit (toute personne de 18 ans ou plus), vous serez invités à vous identifier avant d’activer ces services en entrant votre nom et votre date de naissance.
N’importe qui, y compris les personnes de moins de 18 ans, peut recourir aux services de protection de l’identité. PowerSchool a indiqué que si vous avez des questions, vous pouvez composer le 833 918-7884.
Veuillez lire attentivement le courriel de PowerSchool. Il comprend des détails sur l’incident et sur les renseignements qui ont été touchés selon ce qu’a pu constater PowerSchool. Dans le courriel, PowerSchool explique que, le 28 décembre 2024, elle a découvert qu’elle avait été victime d’un incident de cybersécurité dans le cadre duquel certains renseignements personnels contenus dans les environnements du système informatique de renseignements sur les élèves (SIRE) de PowerSchool ont fait l’objet d’un accès non autorisé et d’une extraction (acquisition). Cet incident s’est produit entre environ le 19 décembre et le 28 décembre 2024. PowerSchool nous a également informés qu’elle a pris des mesures pour empêcher que les renseignements touchés fassent l’objet d’un autre accès non autorisé ou soient utilisés à mauvais escient, qu’elle ne s’attend pas à ce que les renseignements soient communiqués ou rendus publics et qu’elle croit que les renseignements ont été supprimés sans autre reproduction ou diffusion. Comme de nombreux autres établissements scolaires en Amérique du Nord, nous avons recours aux services de PowerSchool pour notre SIRE, et avons donc été informés par PowerSchool que des renseignements stockés par la DSFM dans notre SIRE avaient été touchés par l’incident.
Vous pourrez constater que PowerSchool a inclus dans le courriel une description de certains des renseignements qui pourraient avoir été touchés lors de l’incident. Les renseignements touchés varient selon les personnes.
Pour ce qui est des élèves, les renseignements touchés se limitent généralement aux renseignements que les parents/tuteurs ont fournis à la DSFM au moment de l'inscription de leur enfant à l'école ou lors de mises à jour ultérieures de ces renseignements. Pour plusieurs des élèves, les renseignements touchés comprenaient le nom, la date de naissance, le sexe, le numéro de téléphone, l'adresse, le nom et numéro de téléphone du médecin, le numéro MET, le numéro d’identification attribué par l’école et/ou les dossiers d'inscription, ainsi que le nom et les coordonnées du parent/tuteur. Pour un nombre restreint d'élèves, les renseignements touchés comprenaient également des renseignements médicaux pertinents (p. ex. sur les allergies) et/ou des avertissements pertinents (p. ex. sur les mesures disciplinaires, la garde ou d'autres questions).
Pour ce qui est des membres du personnel, les renseignements touchés comprenaient le nom, le numéro de téléphone, l'adresse, les coordonnées de l'école et/ou le numéro d’identification attribué par l’école.
Le courriel de PowerSchool mentionne également que les numéros d’assurance sociale (NAS) pourraient avoir été touchés, mais si aucune preuve ne démontre que votre NAS a été touché, une mention à cet effet devrait aussi être incluse dans le courriel – veuillez le lire attentivement. Comme nous l’avons mentionné précédemment, d’après notre propre enquête sur les renseignements stockés dans notre SIRE, aucun NAS ni aucun renseignement bancaire ou de carte de crédit de parents/tuteurs, de membres du personnel ou d’élèves n’était stocké dans notre SIRE, et de tels renseignements n’ont donc PAS été touchés par l’incident. Le courriel de PowerSchool devrait donc indiquer qu’aucune preuve ne démontre que votre NAS a été compromis. PowerSchool offre néanmoins des services de protection de l’identité et/ou de surveillance du crédit à l’ensemble des personnes dont tout renseignement a été touché. Nous vous encourageons à vous inscrire aux services offerts par PowerSchool.
Lorsque nous avons été mis au courant de l’incident, nous avons mené une enquête avec l’aide d’experts et nous avons travaillé avec diligence pour demander des précisions à PowerSchool. Nous avons également travaillé avec d’autres divisions scolaires du Manitoba qui sont touchées de la même façon. PowerSchool nous a garanti que l’incident avait été circonscrit. Nous avons pris des mesures pour confirmer qu’il n’y avait pas de menace en cours et pour réduire le risque d’une menace similaire dans l’avenir, notamment en nous assurant que PowerSchool a mis en oeuvre ses protocoles d’intervention en matière de cybersécurité, a retenu les services d’un expert en cybersécurité pour mener une enquête criminalistique, a désactivé un compte compromis, a procédé à une réinitialisation complète des mots de passe, a mis en place des processus d’accès améliorés, a renforcé les politiques et les contrôles relatifs aux mots de passe et a avisé les autorités chargées de l’application de la loi. Nous avons également informé l’Ombudsman du Manitoba de l’incident et avons joint des renseignements supplémentaires sur les mesures que vous pouvez prendre pour protéger vos renseignements personnels.
Vous trouverez ci-joint des réponses aux questions que vous pourriez avoir. Si vous avez des questions supplémentaires, vous pouvez les adresser à Sylvain Foidart : [email protected].
Au sein de la DSFM, nous prenons la cybersécurité et la protection des renseignements au sérieux. Nous regrettons sincèrement que cet incident se soit produit et nous vous remercions de continuer de faire preuve de compréhension dans cette situation
Alain Laberge
Directeur général de la DSFM
Ressources utiles
Mesures recommandées pour protéger vos renseignements personnels
Lettre de la DSFM 2025-05-20
Lettre de PowerSchool Email