MISE À JOUR 10 juin 2020
1. Quelles mesures LifeLabs a-t-elle prises pour renforcer ses systèmes de TI? Comment pouvez-vous éviter que cela se produise à nouveau?
Voici quelques-uns de ces changements que nous avons apportés pour protéger vos renseignements de manière optimale, en renforçant notre programme de sécurité de l’information :
- Nous avons nommé un chef de la sécurité de l’information (CSI) qui, conjointement avec une équipe élargie, dirige la mise en œuvre des mesures d’amélioration en matière de sécurité de l’information;
- Nous avons accueilli deux nouveaux cadres au sein de l’équipe de LifeLabs aux postes de chef de la protection des renseignements personnels et dirigeant principal de l’information. Les deux dirigeants offrent une expérience substantielle en protections de cybersécurité et des renseignements personnels, renforçant nos pratiques à l’échelle de l’entreprise;
- Nous avons amélioré et accéléré notre programme de Gestion de la sécurité de l’information avec un investissement initial de 50 millions $, pour atteindre notre objectif d’obtenir une certification ISO 27001- étalon de référence en gestion de la sécurité de l’information, réalisé par seulement un petit nombre d’entreprises;
- Nous avons fait appel à Deloitte Canada, entreprise de services professionnels indépendante, pour l’évaluation objective de la réaction à la cyberattaque, de l’efficacité de nos programmes et de nos capacités de sécurité, et pour recevoir des recommandations d’autres éléments à améliorer dans nos processus;
- Nous continuons de mettre à profit les services d’entreprises en cybersécurité pour la surveillance du Web invisible et d’autres destinations en ligne afin de retrouver des renseignements en lien avec la cyberattaque. Jusqu’à maintenant, aucune divulgation publique des données sur nos clients découlant de l’attaque n’a été identifiée.
- Nous avons établi un Conseil de la sécurité de l’information formé d’experts internes et externes en sécurité informatique, qui présenteront sur une base régulière leurs rapports sur les pratiques et les protocoles de sécurité de l’information, à moi et au Conseil d’administration;
- Nous avons mis en œuvre des technologies renforcées pour la détection de cybercrimes à l’échelle de l’entreprise;
- Toutes les équipes de l’entreprise participeront à des programmes annuels de sensibilisation et de formation sur la sécurité et la protection des renseignements.
2. Quels services offrez-vous pour protéger mes renseignements/données?
Nous continuons d’offrir à tous les clients des services de protection informatique gratuits pour une durée d’un an, ce qui comprend la surveillance du Web invisible et l’assurance contre le vol d’identité; vous pouvez vous inscrire à ces services jusqu’à la fin de 2020 en téléphonant au 1-888-221-2082.
3. Les services de cybersécurité que LifeLabs a offerts à ses clients seront-ils prolongés après la durée initiale d’un an?
Nous continuons d’offrir à tous les clients des services gratuits de protection informatique pour une durée d’un an, ce qui comprend la surveillance du Web invisible et l’assurance contre le vol d’identité; vous pouvez vous inscrire à ces services jusqu’à la fin de 2020 en téléphonant au 1-888-221-2082.
4. Je ne me suis pas inscrit(e) à la protection informatique – est-elle toujours disponible?
Les clients peuvent s’inscrire à ces services jusqu’à la fin de 2020 en téléphonant au 1-888-221-2082.
MISE À JOUR LE 9 JANVIER 2020
- Qu’est-il arrivé?
Dans un contexte de surveillance proactive de nos systèmes informatiques, LifeLabs a récemment identifié une cyberattaque impliquant l’accès non-autorisé à nos systèmes informatiques. Notre enquête à ce jour démontre que les systèmes touchés conservaient des renseignements de clients pouvant inclure le nom, la date de naissance, le numéro de carte de santé et des résultats de laboratoire.
Préserver nos données est crucial pour nos clients, et une priorité pour LifeLabs.
Dès la découverte de cet incident, nous avons embauché des firmes reconnues de cybersécurité pour isoler et sécuriser le système et pour déterminer l’étendue de la faille.
Pour le moment, nos firmes de cybersécurité évaluent que le risque encouru par nos clients en lien avec cette cyberattaque demeure faible et qu’ils n’ont constaté aucune divulgation publique des renseignements clients durant leur enquête, incluant la surveillance du web clandestin (dark web) et autres réseaux en ligne.
Nous avons contacté les autorités policières, qui font présentement enquête.
- Combien de clients ont été affectés? Est-ce que les résultats de laboratoires ont été affectés?
Les systèmes informatiques qui pourraient avoir été accédés lors de l’intrusion contenaient des renseignements concernant approximativement 15 millions de clients. Au sujet des résultats de laboratoires, nos enquêtes jusqu’à maintenant indiquent qu’il y a 85 000 clients affectés de 2016 et antérieurement situés en Ontario. Nous aviserons ces clients directement. Notre enquête à ce jour indique que les données de carte de santé dans le système remontaient à 2016 ou plus tôt.
- Comment LifeLabs a-t-elle réagit à cet incident?
Dès la découverte de l’intrusion, LifeLabs a mis en place plusieurs mesures pour protéger les données de ses clients :- Nous avons immédiatement embauché des firmes de cybersécurité renommées pour isoler et sécuriser les systèmes et déterminer l’étendue de la faille.
- Nous avons pris des mesures pour renforcer nos systèmes pour prévenir des attaques futures;
- Nous avons récupéré les données en effectuant un paiement, ceci en collaboration avec des experts familiers avec les cyberattaques et la négociation avec des cybercriminels;
- Nous avons fait appel aux autorités policières, qui font présentement enquête;
- Nous offrons des services de protection de cybersécurité à nos clients, comme l’assurance contre le vol d’identité et la protection contre fraude.
- Quand avez-vous découvert cette intrusion?
La surveillance proactive de LifeLabs a identifié l’attaque à la fin octobre 2019. Nous avons immédiatement lancé une enquête avec l’aide d’experts en cybersécurité renommés. À la mi-novembre, ces experts se sont prononcés sur l’étendue potentielle de la faille.
- Pourquoi informez-vous vos clients maintenant?
Avant d’informer nos clients de l’intrusion, il était essentiel de réaliser une enquête exhaustive sur ce qui est arrivé pour sécuriser nos systèmes et déterminer l’étendue de la faille afin que nous puissions informer tous les individus affectés en leur donnant l’information la plus précise et à jour.
Nous avons mis en place un microsite où trouver de l’information sur comment les clients peuvent prendre les mesures appropriées pour se protéger en s’inscrivant aux avantages de cybersécurité. Pendant ce temps nous avons également collaboré avec nos partenaires gouvernementaux et avisé les commissaires à la vie privée. Nous avons également contacté les autorités policières qui font présentement enquête. Au cours des prochaines semaines, nous continuerons à communiquer publiquement pour informer nos clients.
- Quel genre de renseignements a été affecté par cette faille?
Nos enquêtes indiquent que les systèmes affectés contenaient des données à caractère personnel identifiables et des données personnelles de santé de nos clients, incluant le nom, l’adresse, le courriel, les codes d’accès et les mots de passe clients; des exemples de données personnelles de santé sont le numéro de carte de santé et les résultats de laboratoires.
- Est-ce que mes résultats de tests et mes données personnelles en sécurité?
Jusqu’à maintenant, nos firmes de cybersécurité n’ont constaté aucune divulgation publique de données des clients dans leur enquête et surveillance du web clandestin (dark web) et autres ressources en ligne. Par contre, pour la tranquillité d’esprit de nos clients qui pourraient être inquiets, nous offrons des services de protection de cybersécurité.
- Quels services offrez-vous pour protéger mes données/mes renseignements?
Nous offrons une cyber protection d’un an auprès de TransUnion, qui comprend la surveillance de crédit et l’assurance contre la fraude.
Ces services donneront aux clients:- Un accès en ligne illimité au Rapport de crédit TransUnion, mis à jour quotidiennement
- Un rapport de crédit est un aperçu de l’historique financière d’un consommateur et l’outil principal utilisé pour déterminer une fraude ou un vol d’identité lié au crédit.
- Un accès en ligne illimité à la Cote de risque CreditVision® dont les facteurs et analyses sont mis à jour quotidiennement.
- Un pointage de crédit est un nombre à trois chiffres, calculé en fonction de renseignements inclus dans un rapport de crédit d’un consommateur à un moment précis.
- Les alertes de surveillance TransUnion par notification courriel sur tout changement important au dossier de crédit d’un consommateur afin de protéger contre le vol d’identité et permettre d’agir rapidement contre des activités frauduleuses potentielles.
- La surveillance de l’Internet clandestin (Dark Web) pour surveiller les sites web de surface, de réseaux sociaux et les sites clandestins pour des renseignements personnels, d’identification ou financiers potentiellement exposés pour protéger les consommateurs contre le vol d’identité.
- L’assurance contre le vol d’identité avec une couverture jusqu’à 50 000$ pour protéger contre les dommages potentiels liés à un vol d’identité ou une fraude.
Vous pouvez activer ces services en appelant à un des numéros suivants pour recevoir un code d’activation unique pour vous inscrire à ces services en ligne.
- Un accès en ligne illimité au Rapport de crédit TransUnion, mis à jour quotidiennement
- Est-ce que votre système fonctionne maintenant?
Oui. Nos centres de soins aux patients LifeLabs, les réservations en ligne et les opérations sont ouverts.
- Est-ce que je devrais changer mon mot de passe pour mon portail réservation en ligne ou de résultats de tests?
Notre enquête à ce jour indique que notre portail en ligne de résultats n’a pas été affecté, mais notre système de réservation l’a été et nous aviserons directement les clients affectés. Malgré le fait que nous avons isolé les systèmes affectés et éliminé l’accès non-autorisé, comme bonne pratique, les consommateurs qui sont des clients des services en ligne de LifeLabs devraient mettre à jour leurs mots de passe régulièrement pour les garder robustes, complexes et uniques.
- Comment puis-je savoir si mes tests ont été effectués par LifeLabs? Comment puis-je savoir si mes renseignements de santé sont dans votre base de données?
La majorité des clients de LifeLabs sont situés en Colombie-Britannique, et en Ontario, On retrouve très peu de clients dans d’autres emplacements. Si vous avez visité un laboratoire LifeLabs pour un test ou reçu un test/service de LifeLabs Genetics et Rocky Mountain Analytical, il est probable que vos renseignements soient dans notre base de données.
- Est-ce que les clients affectés ont été contactés?
Par souci de transparence et tel qu’exigé par la réglementation concernant la protection de la vie privée, nous faisons cette annonce et informons les clients par des canaux publics.
- Est-ce que le problème a été circonscrit? Êtes-vous certains que d’autres systèmes n’ont pas été compromis?
Oui, le problème a été circonscrit. Par contre, l’enquête est toujours en cours, et avec l’aide de plusieurs firmes de cybersécurité reconnues, nous mettons en place des protections additionnelles pour protéger les renseignements de nos clients et réduire le risque d’attaques futures. Nous surveillons également le Web clandestin (Dark web) et autres ressources en ligne et à date, nous n’avons aucune indication d’utilisation ou de divulgation non-autorisée des données clients.
- Comment puis-je contacter le commissaire à la vie privée pour me renseigner sur mes droits?
Vous avez le droit de porter plainte aux commissaires à la vie privée, mais nous les avons déjà avisés de cette brèche et ils enquêtent présentement à ce sujet. Les clients qui ont des questions à propos de leurs droits peuvent en apprendre davantage en contactant le commissaire à la vie privée de leur province.