Dernière mise à jour : le 19 février 2025

Un incident de cybersécurité lié à PowerSchool (site externe en anglais seulement), un fournisseur de logiciels pour les écoles de la maternelle à la 12^e année, a touché des clients au Canada, aux États-Unis et dans d’autres régions du monde, notamment les Territoires du Nord-Ouest (TNO).

Le 15 janvier 2025, PowerSchool a confirmé auprès du gouvernement des Territoires du Nord-Ouest (GTNO) qu’un accès non autorisé à l’environnement infonuagique de PowerSchool avait conduit au vol de dossiers de plusieurs organismes scolaires ténois. Cette page sera mise à jour à mesure que l’enquête permettra d’obtenir et de vérifier des informations.

L’atteinte à la protection des données ne s’est pas produite au sein du réseau du GTNO.

Que faire si je pense que mes données ou celles de mes enfants ont été compromises lors de cet incident?

PowerSchool offre des services gratuits aux personnes dont les renseignements personnels ont été compromis lors de cet incident, notamment :

• Par l’entremise d’Experian, deux années de services de protection de leur identité à l’ensemble des élèves et éducateurs dont les données ont été compromises. Les personnes concernées doivent s’y inscrire d’ici le 30 mai 2025.
• Par l’entremise de TransUnion, deux années de services de surveillance du crédit à l’ensemble des élèves et éducateurs ayant atteint l’âge adulte et dont les données ont été compromises.

Pour savoir comment bénéficier de ces services, veuillez consulter le lien suivant : Avis de fuite de données pour les individus au Canada | PowerSchool.

Comment savoir si mes données ou celles de mes enfants ont été compromises lors de cet incident?

Le 30 janvier 2025, le GTNO a confirmé qu’environ 35 082 personnes des TNO étaient concernées (32 734 élèves et 2 348 éducateurs ou membres du personnel).

Compte tenu du nombre important de personnes touchées, nous pensons que les données compromises peuvent remonter à une date antérieure à 2012, mais cela reste à confirmer.

Les personnes concernées par cet incident recevront un courriel directement de la part de PowerSchool au cours des prochaines semaines. Toutefois, si vous pensez que vos données ont pu être compromises, nous vous encourageons à téléphoner à PowerSchool au 833-918-7884 (en anglais seulement), du lundi au vendredi, de 8 h à 20 h (heure du Centre), à l’exception des principaux jours fériés aux États-Unis. Veuillez vous tenir prêt à fournir le numéro d’engagement B138905.

PowerSchool et le Bureau du dirigeant principal de l’information (BDPI) effectuent actuellement des enquêtes, et le GTNO transmettra des informations au public dans les plus brefs délais, dès que celles-ci seront confirmées.

Que faire si je ne reçois pas de courriel de la part d’Experian au nom de PowerSchool?

Si vous n’avez pas reçu de courriel de la part d’Experian au nom de PowerSchool et que vous pensez que vos données ont été compromises, veuillez composer le 833-918-7884 (en anglais seulement), du lundi au vendredi, de 8 h à 20 h (heure du Centre), à l’exception des principaux jours fériés aux États-Unis. Veuillez vous tenir prêt à fournir le numéro d’engagement B138905.

Quel type de données sont concernées?

Cet incident a compromis des renseignements sur les élèves et les membres du personnel (anciens et actuels) stockés dans le système de PowerSchool :

• Nom des élèves
• Adresse postale des élèves
• Date de naissance des élèves
• Numéro de téléphone fixe des élèves
• État de santé (asthme, allergies, etc.)
• Nom des parents ou tuteurs
• Nom des enseignants
• Numéro de téléphone fixe des enseignants
• Adresse courriel des enseignants

Quand le GTNO a-t-il appris la survenue de cet incident?

Le ministère a confirmé une atteinte à la protection de données en lien avec les TNO le 15 janvier 2025.

Quels organismes scolaires des TNO ont été touchés?

Le 15 janvier 2025, le GTNO a confirmé une intrusion dans l’environnement infonuagique de PowerSchool qui a conduit au vol de dossiers du Conseil scolaire de division de Beaufort-Delta, du Conseil scolaire de division du Dehcho, du Conseil scolaire de division du Slave Sud, des Écoles catholiques de Yellowknife et de l’Administration scolaire de district no 1 de Yellowknife (YK1).

L’enquête a par la suite confirmé que l’Administration scolaire de district de Dettah et l’Administration scolaire de district de Ndilǫ ont également été touchées, car ces organismes sont rattachés au compte PowerSchool de YK1.

Comment l’incident s’est-il produit?

L’enquête de PowerSchool a permis de déterminer qu’un tiers non autorisé avait accédé à des données en utilisant des données de connexion compromises appartenant à un membre de son personnel. Dès que PowerSchool a été informée de l’incident, elle a immédiatement déployé ses protocoles d’intervention en matière de cybersécurité. PowerSchool a mis en œuvre des mesures de sécurité renforcées et confirme que la fuite a été contenue.

Pourquoi les TNO et d’autres régions font-ils appel à des tiers comme PowerSchool pour gérer les données?

Les systèmes d’éducation sont complexes et nécessitent des systèmes de gestion de l’information. Les provinces et territoires, y compris les TNO, utilisent donc des applications de confiance et de bonne réputation. Lorsqu’il fait appel à un tiers, le GTNO effectue une évaluation rigoureuse des facteurs relatifs à la vie privée.

PowerSchool est un système informatique de renseignements sur les élèves utilisé par des enseignants et des membres de l’administration scolaire partout dans le monde. Les fonctions de ce système permettent de tenir à jour avec précision les dossiers sur les notes, la présence, les coordonnées des personnes à joindre en cas d’urgence, etc. L’accès à de tels renseignements est limité, au sein même de l’établissement scolaire, grâce à des identifiants de connexion attribués en fonction du poste. Seules les personnes qui ont un lien direct avec l’instruction des élèves disposent d’une autorisation pour accéder à quelque donnée que ce soit. Par exemple, les coordonnées d’un élève ne sont pas accessibles aux enseignants qui ne donnent pas de cours à l’élève en question. Certains membres de l’administration disposent de comptes qui leur donnent accès à davantage de renseignements, mais ces comptes sont particulièrement limités.

Il est essentiel de recourir à un système informatique de renseignements sur les élèves pour pouvoir produire des bulletins scolaires, des relevés de notes officiels et même des diplômes d’études secondaires. La perte d’accès à un tel système serait intrinsèquement dommageable, car la prestation des services précités s’en trouverait affectée.

L’incident dont a été victime PowerSchool est dit « contenu ». Qu’est-ce que cela signifie?

Nous basons notre évaluation de la situation sur les mises à jour fournies par PowerSchool : « Nous ne pensons pas qu’un risque subsiste pour nos systèmes. Nous n’avons aucune preuve de la présence d’un logiciel malveillant ou de la poursuite d’une activité non autorisée au sein de l’environnement PowerSchool. PowerSchool ne connaît aucune perturbation de ses opérations, et ne s’attend pas à en connaître, et continue par conséquent à fournir des services comme à l’accoutumée à ses clients. »

Le Commissariat à la protection de la vie privée du Canada a été avisé de cet incident par PowerSchool.

Quelles mesures le GTNO a-t-il prises une fois l’incident confirmé?

Une fois que l’atteinte à la protection des données a été confirmée, le GTNO s’est empressé de déterminer les organismes scolaires concernés ainsi que le type de renseignements compromis.

Les mesures prises étaient les suivantes :

• Nous avons travaillé avec les organismes scolaires pour nous assurer d’aviser le personnel des établissements ainsi que les élèves par courrier;
• Nous avons émis un avis public;
• Nous avons créé un point d’accès (educationoperations@gov.nt.ca) pour que les membres du public puissent nous contacter et nous faire part de leurs préoccupations dans les plus brefs délais;
• Nous avons avisé le Commissaire à l’information et à la protection de la vie privée.

Le Bureau du dirigeant principal de l’information (BDPI) mène une analyse et une enquête aux TNO.

Où puis-je obtenir plus d’information?

Cette page sera mise à jour à mesure que l’enquête de PowerSchool et l’analyse du BDPI permettront d’obtenir et de vérifier des informations.

Le personnel et les élèves des établissements scolaires concernés seront informés directement par PowerSchool ainsi que par leur établissement, et pourront obtenir des mises à jour sur cette page Web du GTNO à mesure que de nouveaux renseignements seront disponibles.

• PowerSchool fournit des mises à jour sur son site Web, à l’adresse https://www.powerschool.com/security/sis-incident/.
• De plus amples renseignements sur les services de protection de l’identité et de surveillance du crédit sont disponibles à l’adresse https://www.powerschool.com/security/sis-incident/notice-of-canada-data-breach-frc/.
• Le numéro du centre d’appels de PowerSchool est le suivant : 833-918-7884 (en anglais seulement). Veuillez vous tenir prêt à fournir le numéro d’engagement B138905.
• Pour communiquer avec l’équipe responsable de la protection de la vie privée de PowerSchool, envoyez un courriel à l’adresse privacy@powerschool.com.
• Pour toute question, veuillez vous adresser au ministère de l’Éducation, de la Culture et de la Formation à educationoperations@gov.nt.ca. 

News:
16 janvier 2025 : Un incident de cybersécurité impliquant PowerSchool s’est produit, touchant des données des TNO

4 février 2025 : Mise à jour sur l’atteinte à la protection des données touchant PowerSchool