Cyberattaque au Centre de services scolaire du Fer : le manque d’informations crée un climat d’incertitude

Depuis l’annonce de la cyberattaque subie par le Centre de services scolaire du Fer, des membres du personnel et des parents d’enfants manquent d’informations quant au sort de leurs données personnelles, à risque d’avoir été dérobées durant l’attaque.

Le 16 février dernier, le Centre de services scolaires du Fer (CSS du Fer) a révélé avoir été victime d’un incident de cybersécurité. Depuis, l’organisation travaille d’arrache-pied, selon le directeur général Marc-André Masse, afin de pouvoir remettre en fonction les systèmes informatiques qu’utilisent leur personnel, les élèves et les parents. Le retour à la normale est prévu dans les prochaines semaines. 

Concernant les données qui auraient pu être dérobées suite à l’incident de cybersécurité, M. Masse indique que l’événement est toujours sous enquête.

« On n’a pas d’informations à divulguer en ce moment, en lien avec ces données », affirme-t-il.

Selon nos sources, la CSS du Fer communiquerait très peu d’information à son personnel ainsi qu’aux parents des élèves qui fréquentent leurs établissements, ce qui aurait fini par créer un climat d’incertitudes et d’anxiété chez certains, face au sort des données personnelles.

Une information que confirme la présidente du Syndicat de l’enseignement de la région du Fer-CSQ, Monica Chiasson.

« Pour ce qui est des données personnelles, l’administration du CSS ne nous a pas fait de suivi par rapport à celles-ci jusqu’à maintenant. (…) Tout est soi-disant confidentiel et les différents ministères ne laissent pas la latitude au directeur général de rassurer ses employés », dit Mme Chiasson. « Nous recevons les informations en même temps que tout le monde et elles se font de plus en plus rares. Comme si le temps effaçait tout. »

Selon le spécialiste en cybersécurité, Steve Waterhouse, ancien sous-ministre adjoint à la Sécurité de l’information gouvernementale et à la cybersécurité du Québec, le fait que le CSS du Fer adopte une posture où peu de suivi et d’informations sont transmis « est une très mauvaise stratégie de communication ».

« Ils devraient garder les gens informés justement sur l’évolution et où ils en sont rendus. Au minimum de dire : regardez, l’enquête est en cours, on continue et on vous informe prochainement. Ils devraient faire ça chaque semaine, pour laisser savoir aux gens que c’est encore vivant, mais ils ne le font pas. C’est là que c’est dommage et que les gens tombent après ça dans la spéculation et dans toutes sortes de considérations, et partent des rumeurs », commente Steve Watherhouse.

Le directeur du CSS du Fer, Marc-André Masse assure que l’organisation a émis plusieurs communications tout au long du processus de remise en fonction des systèmes informatiques.

« Le Centre de services scolaire du Fer a diffusé plusieurs communiqués, à différentes dates, auprès des parents et des membres du personnel, afin de les rassurer. Ces communications précisaient également les étapes à suivre et les mesures préventives à envisager pour protéger leurs renseignements personnels, advenant des activités irrégulières liées à leur identité ou à leurs comptes bancaires », défend M. Masse.

Sur le site Web du CSS du Fer, dans la section des communications concernant la cyberattaque, trois mises à jour de la situation ont été publiées, dont la dernière remonte au 26 février, soit dix jours après l’incident de cybersécurité.

Parallèlement à cela, depuis le 16 février, jour de la découverte de la cyberattaque, trois communiqués de presse ont été envoyés aux médias. Le plus récent date du 13 mars.

Concernant l’enquête qui est toujours en cours, Steve Waterhouse souligne que c’est tout à fait normal.

« Ça peut prendre du temps, dépendamment de la profondeur et de la complexité de l’attaque et il y a probablement de l’expertise externe qui est amenée et mise en contribution pour aller au fond des choses », dit M. Waterhouse.

Conséquences pour l’enseignement

Un incident du genre n’est pas sans conséquence pour les quelque 4 700 élèves et 1000 employés réparti dans les 22 institutions d’enseignement du CSS du Fer.

« La première conséquence, c’était au départ : il n’y avait plus personne qui avait accès à internet, à toutes nos applications, à tous les ordinateurs de notre réseau », dit Marc-André Masse, directeur du CSS du Fer. « On n’avait plus accès au réseau. Ça, c’était plus difficile au niveau des communications pour les parents », ajoute-t-il.

Concernant l’impact sur l’enseignement aux élèves, M. Masse se fait rassurant, bien que les enseignants ont dû revenir à des méthodes moins technologiques.

« Les apprentissages demeurent les mêmes, c’est uniquement que les méthodes ont été revues », dit-il. « Pour l’impact, sur l’enseignement c’est vraiment plus en lien avec la spontanéité de l’enseignement interactif. Aujourd’hui, les jeunes peuvent participer davantage dans leur apprentissage. Ça a peut-être été affecté », dit M. Masse.

Pour la présidente du Syndicat de l’enseignement du Fer, Monica Chiasson, la tâche pour le personnel enseignant est de plus en plus lourde et la cyberattaque de février dernier est venue en rajouter.

« Les enseignants ont dû télécharger à partir de leurs données personnelles les documents et autres dont ils avaient besoin. Sans oublier qu’ils ont fait des partages de connexion avec leur cellulaire, afin d’avoir du réseau », indique Monica Chiasson.

Plusieurs enseignants auraient dépassé les limites de données incluses dans leur forfait. Il est possible pour eux de demander un remboursement, selon Mme Chiasson.

« Cependant, rien ne pourra les dédommager pour toutes les heures qu’ils y ont consacrées », conclut-elle.