Brèche de cybersécurité du logiciel MOVEit

BORN Ontario recueille et analyse des données sur la grossesse, l’accouchement et la période néonatale afin d’améliorer les soins. Nous savons que l’état de santé général d’une personne, les soins qu’elle reçoit et les résultats de ceux-ci pendant la grossesse, l’accouchement et la petite enfance influencent sa santé à vie. Nos données proviennent de prestataires de soins, de laboratoires et d’hôpitaux qui offrent des soins obstétriques et infantiles, et nous transformons ces données en ressources dont les prestataires et les organismes de santé se servent pour améliorer les soins et la prise de décision. Notre système de santé s’en voit amélioré et fonctionne donc mieux pour vous et votre famille.

La collecte et l’utilisation de données par BORN sont autorisées par la loi, réglementées par le Commissariat à l’information et à la vie privée de l’Ontario et financées par le ministère de la Santé de l’Ontario. BORN rassemble des données auprès de prestataires de soins selon l’autorisation prévue par la Loi sur la protection des renseignements personnels sur la santé.

Nous voulons que l’Ontario soit l’un des endroits les plus sécuritaires au monde pour accoucher et puisse poser les bases du meilleur départ possible pour une vie en santé.

Pendant l’intrusion, on a soutiré des serveurs de BORN des copies non autorisées de certains fichiers de renseignements personnels sur la santé. Ces renseignements venaient surtout d’un vaste réseau d’établissements et de prestataires de santé en Ontario; l’information touchée traitait de soins (fertilité, grossesse, santé des nouveau-nés et des enfants) offerts entre janvier 2010 et mai 2023.   

• Avez-vous accouché en Ontario ou la naissance de votre enfant y a-t-elle eu lieu entre avril 2010 et mai 2023?
• Avez-vous reçu des soins de grossesse en Ontario entre janvier 2012 et mai 2023?
• Avez-vous eu une fécondation in vitro ou fait congeler des ovules en Ontario entre janvier 2013 et mai 2023?

Si vous avez répondu OUI à l’une des questions ci-dessus, voici l’information potentiellement touchée :  

• Nom
• Adresse
• Code postal
• Date de naissance
• Numéro de carte de santé (sans code de version)

Les données en question ne comprennent aucun renseignement financier ou bancaire personnel ni aucune autre information qui servirait typiquement au vol d’identité (numéro de carte de crédit, numéro d’assurance sociale, version de carte-santé, code d’expiration ou de sécurité, courriel, etc.). 

De plus, l’information clinique suivante est impliquée dans l’incident (selon les soins reçus) :

• Dates des services/soins
• Résultats des tests de laboratoire
• Facteurs de risque de la grossesse
• Type d’accouchement, d’interventions, de procédés
• Résultats de la grossesse et de l’accouchement (naissance vivante, mortinaissance (mort-né), complications, diagnostics, etc.).

Si vous avez répondu NON à toutes les questions ci-dessus, il reste une très faible possibilité que l’information de votre enfant ait été touchée par l’incident si certains types de soins lui ont été donnés entre janvier 2010 et mai 2023. Consultez la section Mon info impliquée? pour voir une liste des soins en question et des prestataires/installations ayant partagé les données impliquées dans l’incident. 

Somme toute, l’incident impliquait les renseignements sur la santé d’environ 3,4  millions de personnes, soit 1,4 million de personnes ayant reçu de soins prénataux ou de grossesse et 1,9 million de nouveau-nés et d’enfants. Pour en savoir plus sur les séquences et périodes de soins visées, cliquez sur Mon info impliquée?

Pour l’instant, rien n’indique que les données touchées aient servi à des fins frauduleuses.

Pour l’équipe de BORN, la confidentialité des données est primordiale. Dès l’intrusion décelée, nous avons consulté des spécialistes en cybersécurité pour isoler le serveur atteint, contenir la menace, établir l’ampleur de l’intrusion et reconfirmer la capacité de nos systèmes à fonctionner en sécurité.

De plus, nous avons cessé immédiatement d’utiliser le logiciel MOVEit visé par l’intrusion. Le registre de BORN demeure donc fonctionnel et sécuritaire. 

Nous avons averti le Commissariat à l’information et à la protection de la vie privée, et nous vous présentons l’information sur ce site pour vous décrire en détail l’incident.

Pour l’instant, rien n’indique que les données copiées aient servi à des fins frauduleuses, et nous continuons à explorer le Web et le Web clandestin pour y repérer des activités douteuses possibles. Et si nous apercevons une utilisation abusive des données, nous publierons une mise à jour sur notre site Web.

Même s’il est difficile de prévenir les attaques contre les logiciels de tierces parties, nous avons renforcé nos mécanismes de sécurité afin de limiter le risque d’un tel incident à l’avenir.

Vous n’avez aucune autre mesure à prendre.

Nos consultations auprès de spécialistes de l’industrie, dont l’unité d’enquête sur les cybercrimes de la Police provinciale de l’Ontario, révèlent que le genre d’information copié risque très peu de mener à la fraude ou au vol d’identité. 

Cela dit, mettez tout en œuvre pour protéger vos renseignements en surveillant de près vos comptes en ligne et en signalant toute activité suspecte à la police et aux fournisseurs de services.  

BORN ne vous demandera jamais de fournir de l’information personnelle sensible par courriel, par texto ou au téléphone.

Nous vous présentons nos plus sincères excuses pour cet incident. Si vous avez d’autres questions, veuillez consulter la FAQ de cette page ou contacter notre centre d’appel au 1-833-622-1361. Les heures de service sont du lundi au vendredi de 9 h à 17 h. NOTE : Vu la complexité de l’incident, impossible pour nous de vous fournir un sommaire personnalisé de l’information impliquée.

Quoique nous ayons signalé l’incident au CIPVP, qui étudie la question aussi, vous avez aussi le droit de porter plainte auprès de cette autorité.