Le réseau des bibliothèques publiques de Toronto a reconnu que le gang de rançongiciel qui l’a attaqué le mois dernier a volé des données personnelles identifiables d’employés.
« À ce stade de notre enquête, nous pensons que le personnel actuel et ancien employé par la Bibliothèque publique de Toronto (TPL) et la Fondation de la bibliothèque publique de Toronto (TPLF) depuis 1998 est touché », a déclaré mardi la bibliothèque. « Des informations relatives à ces personnes ont probablement été recueillies, notamment leur nom, leur numéro d’assurance sociale, leur date de naissance et leur adresse résidentielle. »
« Des copies des documents d’identité délivrés par le gouvernement et fournies à TPL par le personnel ont probablement également été dérobées. »
« Nous n’avons pas payé de rançon. »
« Nos bases de données de titulaires de cartes de bibliothèque et de donateurs ne sont pas affectées. Cependant, certaines données de clients, de bénévoles et de donateurs résidant sur le serveur de fichiers compromis peuvent avoir été exposées. Il nous faudra du temps pour analyser les données afin de déterminer qui est concerné et comment. Nous continuerons à faire preuve de transparence et à informer les personnes concernées, le cas échéant et à la lumière de nos conclusions. »
La bibliothèque gérée par la municipalité offre deux ans de surveillance gratuite du crédit aux employés actuels et anciens.
La bibliothèque a déclaré la semaine dernière que l’attaque du 28 octobre était un rançongiciel. Initialement, elle avait déclaré qu’il n’y avait aucune preuve immédiate que des données sur le personnel avaient été volées.
Les municipalités et leurs réseaux de bibliothèques font partie de ce que l’Ontario appelle le secteur parapublic, qui comprend également les hôpitaux.
L’année dernière, le gouvernement provincial a reçu un rapport d’un groupe d’experts sur la cybersécurité dans le secteur parapublic provincial, qui concluait à un « sous-investissement systémique dans le remplacement des technologies existantes et dans la cybersécurité » dans le secteur parapublic.
L’une des principales recommandations était que la province crée un organisme unique pour superviser la cybersécurité dans l’ensemble du secteur parapublic, en dispensant des conseils et en exigeant des redditions de comptes. Cela renforcerait les structures de gouvernance actuelles responsables des risques de cybersécurité spécifiques au secteur.
En réponse à ce rapport, le gouvernement a déclaré qu’il « acceptait les recommandations formulées dans le rapport final ». Cependant, aucun calendrier de mise en œuvre des recommandations n’a été précisé.
Adaptation et traduction française par Renaud Larue-Langlois.
