octobre 19, 2022
Q. Que s’est-il passé?
R. St.Amant a été victime d’une attaque en ligne. Une ou plusieurs personnes inconnues ont accédé à notre réseau informatique (c’est ce qu’on appelle du « piratage »).
Q. Pourquoi ferait-on ça?
R. Nous ne savons pas exactement. Il se peut que ces individus planifiaient par exemple une attaque par rançongiciel – en chiffrant nos propres fichiers et en réclamant une rançon pour obtenir la clé de déchiffrement. Il existe d’autres types courants de logiciels malveillants ou d’attaques mais ce qu’il faut savoir, c’est qu’aucune attaque n’a été menée à bien. Aucun renseignement n’a été exfiltré de notre réseau (volé).
Q. Quand cela s’est-il produit?
R. La ou les personnes inconnues ont accédé à notre système le 23 août 2022.
Q. Qu’a fait St.Amant au sujet de cette attaque?
R. L’incident a été détecté le 30 août 2022. Nous avons bloqué l’accès au réseau et fait appel à une société de cybersécurité pour qu’elle nous aide à sécuriser nos renseignements, à supprimer tout ce que le pirate aurait pu installer dans notre système et à déterminer ce qui s’était passé. Depuis le 30 août, nous avons réinitialisé les mots de passe de tous les employés et établi des exigences plus strictes de protection par mot de passe; nous avons adopté l’authentification multifactorielle et aussi effectué un examen approfondi pour être en mesure de vous fournir les renseignements ci-dessus.
Nous avons également informé l’ombudsman du Manitoba de cette attaque et allons collaborer avec son équipe pour passer en revue cet incident et étudier les autres recommandations qu’elle pourrait formuler.
Q. Quels types de renseignements étaient menacés?
R. Pour une personne qui reçoit ou qui a reçu un soutien de St.Amant, il peut s’agir des renseignements suivants : nom, date de naissance, coordonnées, recommandations de consultations, évaluations, diagnostics, plans de traitement, notes d’évolution, médicaments, dates de rendez-vous, données de facturation, numéros d’identification médicaux personnels, numéros de traités et numéros des services d’aide à l’emploi et au revenu.
Pour un ancien employé ou un employé actuel de St.Amant, il peut s’agir des renseignements suivants : nom, date de naissance, coordonnées, numéro d’assurance sociale, renseignements bancaires, vérifications de références, poste, numéros d’immatriculation professionnelle, salaires, retenues sur salaire, photos de personnel, évaluations de la performance, lettres résumant les réunions ayant eu lieu et renseignements médicaux personnels communiqués aux Services de santé au travail (y compris les dates de rendez-vous et les restrictions, mais pas les diagnostics, les notes médicales particulières ou les instructions).
Pour un ancien bénévole ou un bénévole actuel de St.Amant, il peut s’agir des renseignements suivants : nom, date de naissance, coordonnées, renseignements figurant sur une pièce d’identité délivrée par le gouvernement, vérifications de références, évaluations et heures travaillées.
Q. Si mes renseignements ne semblent pas avoir été volés ni avoir été l’objet d’une rançon, pourquoi me parlez-vous de cet incident?
R. Nous sommes légalement tenus de vous informer en vertu de la Loi sur les renseignements médicaux personnels (LRMP) et de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP). Mais nous voulons surtout être transparents avec vous. Pendant cette semaine-là, l’individu a eu accès aux renseignements que nous conservions sur nos lecteurs réseau. Sur ces lecteurs, nous conservions les renseignements dont nous avions besoin pour faire notre travail et, parfois, cela incluait des renseignements (médicaux) personnels. Nous espérons qu’aucune victime de cet incident ne subira de préjudice mais nous tenons à ce que vous disposiez de l’information nécessaire pour vous protéger.
Q. Est-ce que je dois faire quelque chose pour me protéger?
R. Il y a des choses que vous pouvez faire, notamment changer les mots de passe que vous utilisez dans tous les domaines de votre vie (vie personnelle, travail, bénévolat, etc.) et, si possible, utiliser un système d’authentification multifactorielle ou un gestionnaire de mot de passe. Vous pouvez aussi vous renseigner sur les services de protection contre le vol d’identité qui peuvent notamment surveiller les sites Web et les bases de données pour repérer vos renseignements personnels comme votre numéro d’assurance sociale (NAS), les renseignements figurant sur votre permis de conduire, les numéros de vos comptes bancaires, etc. Si vous vous inquiétez au sujet de l’accès à vos renseignements médicaux personnels, vous pouvez contacter vos fournisseurs de soins pour vous assurer que seules les personnes en qui vous avez confiance ont accès à vos dossiers. Vous pouvez aussi placer une alerte à la fraude dans vos dossiers de crédit. Une alerte à la fraude adresse à toute personne demandant votre rapport de solvabilité un message spécial indiquant que vous pensez avoir été victime de fraude. Quand vous essayez d’ouvrir un compte de crédit ou qu’une autre personne essaie de le faire en votre nom, le prêteur doit prendre des mesures pour vérifier que vous avez autorisé la demande.
Q. Qui dois-je appeler si j’ai d’autres questions?
R. Vous pouvez contacter notre coordonnatrice chargée de la protection de la vie privée vi vous souhaitez obtenir d’autres renseignements :
Kristyn Dunn, CHIM
Coordonnatrice, Services d’info-santé et protection de la vie privée
Services d’info-santé, St.Amant
440, chemin River
Winnipeg MB R2M 3Z9
Tél. : 204 258-7049
Q. À qui d’autre puis-je m’adresser si je ne suis pas satisfait de la réponse de St.Amant?
R. L’ombudsman du Manitoba enquête sur les plaintes de personnes qui ont des craintes au sujet de la protection de leurs renseignements (médicaux) personnels. Nous lui avons signalé l’incident et collaborons avec son équipe pour examiner la situation. Si vous vous inquiétez de la réponse de St.Amant, vous pouvez vous adresser à :
Ombudsman du Manitoba
500, avenue Portage, bureau 750
Winnipeg MB R3C 3X1
Tél. : 204 982-9130
Sans frais : 1 800 665-0531
Courriel : ombudsman@ombudsman.ca
Q. Qu’allez-vous faire désormais pour protéger mes renseignements?
R. Nous avons la ferme intention de passer soigneusement en revue les types de renseignements que nous stockons sur notre lecteur réseau et de trouver la meilleure façon de protéger les documents contre le furetage.
Nous collaborerons avec l’ombudsman du Manitoba pendant que son équipe procédera à l’examen de l’incident et à la formulation de recommandations.