Événement de cybersécurité PowerSchool

Le gouvernement de l’Île-du-Prince-Édouard informe les élèves, les parents, les tutrices et tuteurs, les enseignantes et enseignants et les administrations scolaires que certains de leurs renseignements personnels peuvent avoir été touchés par le récent cyberincident de PowerSchool en Amérique du Nord.

Que s’est-il passé?

Le 7 janvier 2025, PowerSchool – une plateforme tierce utilisée par de nombreux systèmes d’éducation, dont celui de l’Île-du-Prince-Édouard – a informé le gouvernement de l’Île-du-Prince-Édouard que des données personnelles de membres anciens et actuels des écoles de l’Île pourraient avoir été compromises.

Qui est touché?

L’enquête a permis d’identifier deux groupes de personnes touchées. Si vous faites partie de l’un ou l’autre de ces groupes, certains renseignements personnels ont probablement été exposés et vous êtes probablement considéré ou considérée comme une personne touchée :

1. Tout élève de la maternelle à la 12e année d’une école de l’Île-du-Prince-Édouard entre 2003 et 2024, ainsi que les élèves préinscrits à la maternelle en 2025.
2. Tout membre du personnel de la Direction des écoles publiques de langue anglaise, de la Commission scolaire de langue française ou du ministère de l’Éducation entre 2020 et 2024 qui a eu accès à PowerSchool via le portail des administrateurs ou des enseignants, ou qui a reçu des courriels, des textes ou des messages vocaux via SchoolMessenger. Cela comprend les enseignantes et enseignants, les adjointes et adjoints administratifs, les chauffeuses et chauffeurs d’autobus et les travailleuses et travailleurs jeunesse actuels et anciens, mais n’inclut pas les assistantes et assistants en éducation.

Des données d’environ 70 000 élèves ont été consultées, les dossiers les plus anciens datant de 2003. Environ 67 % des élèves dont les données ont été consultées ne font plus partie du système scolaire.

Comment puis-je confirmer que j’ai été touché ou touchée et comment puis-je revoir mes renseignements exposés?

Si vous avez reçu une notification par courriel de PowerSchool ou du ministère de l’Éducation et de la Petite enfance, c’est que vous avez été identifié ou identifiée comme étant une personne touchée par l’incident de cybersécurité de PowerSchool.

Si vous n’avez pas reçu de notification par courriel de PowerSchool ou du ministère de l’Éducation et de la Petite enfance, et que vous souhaitez confirmer si vous avez été touché ou touchée, si vous avez des questions sur cet incident ou si vous souhaitez obtenir une copie de vos renseignements personnels auxquels on a accédé sans autorisation ou de ceux de votre enfant, veuillez contacter l’administration du ministère de l’Éducation et de la Petite enfance au 902-438-4130 ou à l’adresse depteey@gov.pe.ca. Pour assurer la sécurité des personnes touchées, vous devrez vérifier votre identité avant que les renseignements auxquels on a accédé sans autorisation vous soient communiqués.

Vous pouvez accéder aux détails des renseignements auxquels on a accédé sans autorisation de deux manières prédéterminées. Des arrangements préalables doivent être faits en communiquant au numéro de téléphone ou à l’adresse courriel ci-dessus. Les options pour les personnes touchées ou leurs parents ou tuteurs ou tutrices sont les suivantes :

1. Aller récupérer (avec des arrangements préalables) un paquet imprimé à l’un de nos emplacements désignés. Une pièce d’identité valide doit être présentée au moment de récupérer le paquet.
2. Recevoir de manière électronique un fichier PDF. Les personnes doivent se joindre à un appel vidéo (Teams/Zoom) pour présenter une pièce d’identité valide avant de recevoir les renseignements.

Veuillez communiquer avec nous si vous avez besoin de mesures d’adaptation pour accéder à vos renseignements.

Pour les employées et employés actuels seulement : Pour demander un résumé de vos renseignements auxquels on a accédé sans autorisation, envoyez un courriel à l’adresse depteey@gov.pe.ca directement depuis votre adresse gouvernementale (l’adresse doit se terminer par @gov.pe.ca, @edu.pe.ca ou @ihis.org). Aucune vérification d’identité supplémentaire ne sera requise.

Qu’est-ce qui est considéré comme une pièce d’identité valide?

La pièce d’identité doit être délivrée par un gouvernement fédéral, provincial ou territorial et doit être valide, non expirée. Pour être considérée comme acceptable, la pièce d’identité valide doit comporter les éléments suivants : nom, date de naissance, photo et signature.

Voici quelques exemples de pièces d’identité valides et acceptables :

• Certificat sécurisé de statut d’Indien (carte sécurisée de statut)
• Certificat de statut d’Indien (carte de statut)
• Passeport
• Permis de conduire
• Carte d’identité militaire canadienne
• Carte d’identité délivrée par le gouvernement

Si vous ne disposez pas d’une pièce d’identité répondant à toutes les exigences, vous pouvez présenter plusieurs pièces qui, une fois combinées, contiennent tous les renseignements requis.

PowerSchool offre-t-elle des services de surveillance du crédit et de protection d’identité aux personnes touchées?

Oui, PowerSchool a accepté de fournir deux (2) ans de services de surveillance du crédit aux personnes touchées âgées de plus de 18 ans et deux (2) ans de services de protection de l’identité à toutes les personnes touchées, quel que soit leur âge. Vous pouvez en savoir plus sur cette offre et sur la manière de vous inscrire à ces services sur le site Web de l’avis de fuite de données de PowerSchool à l’adresse : https://www.powerschool.com/security/sis-incident/notice-of-canada-data….

Ces services sont offerts gratuitement à toutes les personnes touchées, quel que soit le type de renseignements exposés dans votre cas. Veuillez noter que la date limite d’inscription à ces services est le 31 juillet 2025.

PowerSchool a avisé le gouvernement provincial que, à compter du 20 février, elle commence l’envoi de communications aux membres touchés de la communauté scolaire sur la façon d’accéder à ces services. Si vous avez reçu un courriel de ps-sis-incident@mail.csid.com, ps-sis-incident@mail1.csid.com, ou ps-sis-incident@mail2.csid.com, il est légitime et contient des directives sur l’accès à ces services gratuits.

Si vous avez des questions ou préoccupations à propos de ce courriel, téléphonez au 1-833-918-7884, de 8 h à 20 h (heure du Centre), du lundi au vendredi (sauf les principaux jours fériés américains). Vous devrez fournir le numéro d’engagement B138905. PowerSchool précise qu’elle ne communiquera jamais avec vous par téléphone ou courriel pour vous demander des renseignements personnels ou sur votre compte.

 

Que faire si je n’ai pas reçu le courriel de notification?

PowerSchool et le ministère de l’Éducation et de la Petite enfance ont pris des mesures pour informer toutes les personnes touchées de l’incident et de leurs réponses respectives. Si vous pensez être une personne touchée, mais que vous n’avez pas reçu directement de notification par courriel, c’est très probablement parce que vos coordonnées n’étaient pas disponibles ou à jour. Dans certains cas, il se peut que le courriel n’ait pas été livré ou qu’il ait été bloqué par votre filtre antipourriel. Si vous faites partie de l’un des groupes d’élèves ou de membres du personnel décrits ci-dessus, vous devez supposer que vous êtes touché ou touchée, même si vous ne recevez pas de notification par courriel.

Que vous receviez ou non une notification par courriel, vous pouvez faire ce qui suit :

• Consulter le contenu de la présente page pour vous renseigner sur la fuite de données, ses répercussions possibles sur vous et ce que vous pouvez faire;
• Contacter le ministère de l’Éducation et de la Petite enfance pour confirmer si vous avez été touché ou touchée et revoir vos renseignements (notez que vous devrez vérifier votre identité avant que tout renseignement puisse être communiqué);
• Examiner le site Web de l’avis sur la fuite de données de PowerSchool et son offre de services de surveillance du crédit et de protection de l’identité et vous inscrire à ces services si vous êtes intéressé ou intéressée et admissible.

Quels renseignements personnels pourraient avoir été compromis?

Les renseignements personnels qui sont touchés comprennent les suivants :

Élèves :

• Prénom, deuxième prénom et nom
• Date de naissance
• Sexe
• Année scolaire et école
• Dates de début et de fin comme élève
• Renseignements médicaux (p. ex. allergies, troubles de santé, blessures)
• Adresses du domicile et postale
• Numéros de téléphone (domicile)
• Points clés des mesures disciplinaires (p. ex. suspensions, stratégies comportementales)
• Arrangements de garde

Personnel :

• Prénom, deuxième prénom et nom
• Numéro d’employée ou employé et titre de poste
• Écoles
• Courriels

Dans un petit nombre de cas (< 10 %), les renseignements suivants sont également touchés :

• Adresse du domicile
• Numéros de téléphone (domicile)
• Dates de transfert entre écoles, de congés prolongés et de retraite

Les numéros d’assurance sociale (NAS) et les renseignements bancaires sont-ils compromis?

Non, les autorités scolaires de l’Île-du-Prince-Édouard ne conservent aucun NAS ni renseignement financier ou bancaire dans le système d’information scolaire PowerSchool.

Mes renseignements médicaux sont-ils touchés?

Si vous avez fourni des renseignements médicaux à la Commission scolaire de langue française (CSLF) ou à la Direction des écoles publiques de langue anglaise (DEPLA) afin de documenter une allergie ou un trouble de santé, vos renseignements médicaux sont touchés par l’incident de cybersécurité de PowerSchool. Les numéros des cartes-santé provinciales ne sont pas stockés dans PowerSchool et n’ont donc pas été touchés par cet incident.

Pourquoi les autorités scolaires conservent-elles les dossiers des anciens élèves?

La réglementation provinciale stipule que les dossiers des élèves doivent être conservés pendant 73 ans à compter de la date de naissance de l’élève. Ces données historiques sur les élèves sont conservées dans le système d’information scolaire PowerSchool en vue de répondre aux demandes de dossiers d’anciens élèves (relevés de notes) et de preuves d’inscription.

Quelles mesures de protection de la vie privée a-t-on prises?

PowerSchool a pris plusieurs mesures à la suite de l’incident, dont les suivantes :

• Changement des mots de passe de tout le personnel ayant accès à la plateforme
• Augmentation de la complexité exigée pour les mots de passe du personnel de PowerSchool
• Désactivation de la capacité de PowerSchool de se connecter aux serveurs PowerSchool de l’Île-du-Prince-Édouard pour offrir du soutien
• Communication avec les services policiers
• Embauche de deux entreprises en cybersécurité pour participer à la gestion de la brèche

L’incident de cybersécurité est-il terminé?

PowerSchool a informé le gouvernement provincial que l’incident a été maîtrisé et que des contrôles internes renforcés pour sécuriser son système ont été mis en place, notamment en désactivant les renseignements d’identification compromis. PowerSchool a également confirmé que rien ne démontre que des activités non autorisées se poursuivent.

La plateforme est encore opérationnelle au sein du système scolaire de l’Île.

Qui a été informé de l’incident de cybersécurité de PowerSchool?

Le gouvernement provincial a publié un communiqué pour informer tous les Insulaires que l’Île-du-Prince-Édouard est touchée par l’incident de cybersécurité de PowerSchool en Amérique du Nord. D’autres avis seront envoyés au fur et à mesure que les renseignements seront disponibles.

• Le 21 février 2025
• Le 31 janvier 2025
• Le 9 janvier 2025

Les partenaires en éducation, notamment les autorités scolaires, les syndicats et la PEI Home and School Federation, ont été informés et seront également tenus au courant des derniers renseignements.

Le Commissariat à l’information et à la protection de la vie privée a été informé de cet incident le 7 janvier 2025. Le Commissariat continue à être tenu au courant de la réponse provinciale. Si vous avez des inquiétudes à ce sujet, vous pouvez communiquer avec le Commissariat par téléphone, au 902-368-4099.

Qui participe à la réponse du gouvernement provincial?

• Ministère de l’Éducation et de la Petite enfance
• Ministère des Finances
• Bureau de l’accès à l’information et de la protection de la vie privée de l’Î.-P.-É.
• Direction des écoles publiques de langue anglaise
• Commission scolaire de langue française
• PowerSchool

Avec qui puis-je communiquer pour en savoir plus?

Toute personne ayant des questions ou des inquiétudes concernant cet incident peut communiquer avec le ministère de l’Éducation et de la Petite enfance, à l’adresse depteey@gov.pe.ca en attendant qu’un numéro de téléphone dédié soit établi.

Comment puis-je me protéger, ainsi que ma famille, contre l’hameçonnage et les autres menaces en ligne?

• Méfiez-vous des courriels, des messages et des appels non sollicités :
  • Les tentatives d’hameçonnage prennent souvent la forme de courriels, de textos ou d’appels prétendant provenir d’une source fiable, comme une banque ou un organisme gouvernemental.
  • Soyez attentif aux « signaux d’alerte » comme les demandes urgentes (« Votre compte a été compromis! »), les erreurs d’orthographe ou les liens suspects. Si vous attendiez le courriel, méfiez-vous quand même.
  • Vérifiez l’adresse de courriel officielle de la personne ou de l’entreprise qui a pris contact avec vous, en l’appelant ou en vous rendant sur le site Web officiel pour vérifier les coordonnées.
• Vérifiez les sources :
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.
  • Au lieu de cliquer sur un lien envoyé par courriel, entrez l’adresse du site Web officiel manuellement dans le navigateur pour vérifier s’il y a des mises à jour ou des demandes de renseignements.
  • Si vous avez des doutes par rapport à une communication, communiquez directement avec l’entreprise à l’aide des coordonnées vérifiées (p. ex., le numéro de téléphone sur le site Web officiel).
• Sensibilisez les enfants à la sécurité en ligne :
  • Enseignez à vos enfants à ne pas partager de renseignements personnels (nom, adresse, mots de passe, etc.) en ligne, surtout avec des étrangers.
  • Expliquez-leur l’importance de se limiter à des sites Web et à des personnes de confiance.
• Surveillez leurs activités en ligne :
  • Utilisez des outils de contrôle parental pour suivre les activités de vos enfants en ligne et mettez des alertes en place pour les transactions ou les activités inhabituelles.
  • Surveillez les profils de réseaux sociaux de vos enfants pour vous assurer qu’ils ne partagent pas trop de renseignements personnels.
• Activez l’authentification multifacteur (AMF) :
  • Pour les comptes où c’est possible, activez l’authentification à deux facteurs pour ajouter un élément de sécurité additionnel.
• Utilisez des mots de passe robustes et uniques :
  • Encouragez vos enfants à utiliser des mots de passe complexes (au moins 12 caractères, avec un mélange de lettres, de chiffres et de symboles).
  • Évitez la réutilisation de mots de passe sur plusieurs sites.
  • Changez vos mots de passe régulièrement (p. ex., tous les 45 jours).
  • Envisagez d’utiliser un gestionnaire de mots de passe pour conserver vos mots de passe en toute sécurité.
• Surveillez vos états financiers :
  • Vérifiez régulièrement vos relevés bancaires, vos factures de cartes de crédit et vos rapports de solvabilité pour tout prélèvement ou compte non autorisé.
  • Mettez en place des alertes pour les transactions afin de détecter rapidement toute activité inhabituelle.
• Méfiez-vous des faux sites Web :
  • Recherchez les caractères « https » et un cadenas dans la barre d’adresse du navigateur lorsque vous entrez des renseignements de nature délicate (comme des détails de paiements).
  • Vérifiez le domaine du site Web de nouveau pour vous assurer qu’il est légitime (p. ex., il faut éviter les sites avec des adresses URL étranges ou mal épelées).
• Évitez les réseaux Wi-Fi publics pour les transactions de nature délicate :
  • Abstenez-vous d’effectuer des achats en ligne et d’entrer des renseignements personnels lors d’une connexion à un réseau Wi-Fi public, qui risque de ne pas être sécurisée.
• Gardez vos logiciels à jour :
  • Assurez-vous que le système d’exploitation et les applications de votre appareil sont mis à jour régulièrement afin de corriger les vulnérabilités susceptibles d’être exploitées par les pirates informatiques.
• Déchiquetez les documents de nature délicate :
  • Déchiquetez tout document physique comportant des renseignements personnels (numéros d’assurance sociale, relevés bancaires, etc.) en vue de prévenir le vol d’identité au moyen de copies papier.

Il s’agit de bonnes pratiques à appliquer en tout temps. Pour vous renseigner davantage sur la protection de votre famille en ligne, consultez le site Web du gouvernement fédéral, www.PensezCyberSecurite.ca