Récent incident de cybersécurité

À la mi-mars, nous avons détecté un incident de cybersécurité au cours duquel une personne externe a eu accès à une application de nos systèmes informatiques. Nous avons découvert l’incident après le déclenchement d’une alarme. Nous avons immédiatement pris des contremesures pour empêcher tout autre accès ou activité non autorisé et avons mis l’application concernée hors service. Nous avons fait appel à des experts en cybersécurité pour nous aider à limiter les dégâts et à remédier à la situation, et pour mener une enquête afin de déterminer la cause et l’étendue de cet incident. Au terme de l’enquête, on n’a trouvé aucun signe que des fichiers contenus dans l’application avaient été consultés ou extraits. Depuis cet incident, deux autres tentatives d’intrusion dans notre infrastructure informatique ont eu lieu; elles ont toutes deux échoué en raison de nos mesures de sécurité existantes.

L’organisation a mis en place des mesures de protection contre l’accès non autorisé ou illégal aux renseignements confidentiels et personnels qu’elle détient – qui ne comprennent aucune information personnelle sur la santé. Nous utilisons des mesures de sécurité physiques, électroniques et administratives pour protéger ces renseignements, notamment un chiffrement, des pare-feux, des processus d’authentification, des contrôles de l’accès, des locaux sécurisés et un examen régulier des politiques et procédures afin de veiller à ce qu’elles reflètent les pratiques exemplaires. Peu avant cet incident, nous avions réalisé une évaluation du National Institute of Standards and Technology (NIST) visant à détecter d’éventuelles vulnérabilités dans nos systèmes informatiques – nous travaillons à la mise en œuvre des recommandations de ce rapport, qui resteront au sommet de notre liste de priorités durant l’année à venir.