Fin d'une enquête sur une faille de cybersécurité d'un système utilisé par des écoles

Le Commissariat à la protection de la vie privée du Canada a annoncé la fin de l'enquête sur une atteinte à la cybersécurité impliquant un système d'information scolaire utilisé un peu partout au pays, se déclarant satisfait de la réponse de l'entreprise et de son engagement à renforcer les mesures de sécurité.

Le commissaire à la protection de la vie privée, Philippe Dufresne, a affirmé que l'enquête avait été lancée en février après que son bureau a reçu un rapport de faille de sécurité de la part de PowerSchool, une entreprise américaine qui fournit le logiciel concerné, et une plainte concernant l'incident.

Le bureau du commissaire affirme qu'un pirate informatique a obtenu des données telles que les noms, les coordonnées, les dates de naissance et, dans certains cas, les renseignements médicaux et les numéros d'assurance sociale d'élèves, d'enseignants et de parents, actuels et anciens, dans plusieurs provinces et territoires.

PowerSchool a pris des mesures pour contenir la brèche, a informé les personnes et les organisations touchées et a offert une protection de crédit. L'entreprise s'est aussi volontairement engagée à prendre des mesures supplémentaires, notamment des outils de surveillance et de détection renforcés.

Le bureau du commissaire précise que ces mesures ont incité M. Dufresne à interrompre l'enquête sur la faille de cybersécurité, mais qu'il surveillera l'engagement de PowerSchool à renforcer ses mesures de sécurité.

L'organisation fédérale indique que la décision d'interrompre son enquête n'aura aucune incidence sur les enquêtes en cours sur la faille menées par les organismes provinciaux de protection de la vie privée de l'Ontario et de l'Alberta.

«Je salue la volonté de PowerSchool de collaborer avec mon bureau afin de parvenir à une résolution rapide qui permettra de renforcer la protection des renseignements personnels des élèves, des parents et des enseignants partout au Canada», a déclaré M. Dufresne, dans un communiqué de presse mardi.

Le Conseil scolaire du district de Toronto, le plus grand conseil scolaire au Canada, a indiqué dans une lettre adressée aux parents et aux tuteurs en mai avoir récemment appris que les données volées en décembre 2024 n'avaient pas été détruites et qu'un «acteur malveillant» avait exigé une rançon.

PowerSchool avait déclaré avoir payé la rançon dans l'espoir d'empêcher la divulgation publique des données volées.

«Nous avons pris la décision de payer une rançon parce que nous estimions que c'était dans l'intérêt de nos clients, des élèves et des communautés que nous servons», a fait valoir l'entreprise dans un communiqué en mai.

PowerSchool a indiqué mardi dans une lettre adressée au commissaire qu'elle confirmerait toute nouvelle mesure d'investigation et d'authentification d'ici la fin du mois, et qu'elle fournirait la preuve du renforcement de ses outils de surveillance de la sécurité d'ici la fin de l'année.

Le document précisait que l'entreprise acheminera au commissaire une évaluation de sécurité indépendante et un rapport sur ses mesures de protection de l'information d'ici mars 2026.

Rianna Lim, La Presse Canadienne