Les cyberattaques portent de plus en plus souvent atteinte à la sécurité et à la confidentialité de l’information. Elles s’accompagnent souvent de la menace de publier les renseignements volés.
Cette semaine, la Société des loteries et des jeux de l’Ontario (OLG) a signalé au CIPVP que le Casino Rama Resort avait subi une cyberattaque lors de laquelle on a accédé, par l’entremise d’un programme malveillant, à des données se trouvant dans son réseau informatique contenant des renseignements personnels sur des clients et des membres du personnel.
OLG a signalé cet incident à notre bureau et nous a fait part des mesures prises pour faire enquête et réagir à cette attaque :
- Collaboration avec des experts en cybersécurité afin de déterminer la portée de l’attaque ainsi que les renseignements personnels qui auraient pu avoir été volés;
- Notification des organismes d’exécution de la loi et de réglementation, y compris la Police provinciale de l’Ontario, la Gendarmerie royale du Canada (GRC), OLG, la Commission des alcools et des jeux de l’Ontario (CAJO) et le Commissariat à la protection de la vie privée du Canada (CPVP);
- Notification des particuliers qui auraient pu avoir été concernés par cette attaque, et conseils et aide aux clients qui pourraient être à risque de vol d’identité.
Nous avons entamé une enquête et nous continuerons de collaborer avec OLG pendant qu’elle examine et renforce les mesures déjà en place ou qui seront instaurées afin de protéger ses systèmes contre toute attaque future, et afin qu’elle respecte ses obligations en vertu des lois ontariennes sur la protection de la vie privée.
Le CIPVP tient à rappeler qu’en vertu des lois ontariennes sur l’accès à l’information et la protection de la vie privée, les institutions doivent prendre des mesures « raisonnables » pour protéger leurs documents. Nous recommandons un certain nombre de mesures administratives et technologiques pour aider les institutions à respecter leurs obligations en vertu des lois. Ces mesures comprennent la formation du personnel, la restriction des privilèges d’accès et l’utilisation de logiciels de protection, entre autres.
Les institutions publiques et les organismes de santé qui font l’objet d’une cyberattaque ayant porté atteinte à des renseignements personnels doivent s’adresser au CIPVP pour recevoir des conseils et directives.
Les citoyens qui sont d’avis que leurs renseignements personnels n’ont pas été traités correctement peuvent porter plainte à notre bureau, que l’on peut joindre au 1 800 387-0073.
Pour obtenir des renseignements et directives sur la sécurité en ligne, consulter les documents suivants du CIPVP :
Feuille-info sur la technologie – Protecting Against Ransomware (version française bientôt disponible)
Le vol d’identité – Un crime de situation
This post is also available in: Anglais
