Enseignements tirés de la violation des données de PowerSchool

Quels enseignements tirer de la violation des données de PowerSchool?

Des millions d’étudiants, de parents et d’enseignants ont reçu une leçon imprévue sur la cybersécurité à la suite de l’importante violation de données que PowerSchool Canada ULC (« PowerSchool ») a subie en décembre 2024, à l’échelle de ses systèmes. PowerSchool est une entreprise de technologie éducative qui fournit des systèmes d’information sur les étudiants (« SIE ») aux conseils scolaires et aux ministères pour les aider à gérer l’information sur les étudiants et le personnel.

Les commissaires à l’information et à la protection de la vie privée de l’Ontario et de l’Alberta (collectivement, les « Commissaires ») ont enquêté sur l’incident en vertu de leurs lois respectives sur la protection des renseignements personnels dans le secteur public.

Bien que ces lois ne s’appliquent pas directement à PowerSchool, elles régissent la façon dont les établissements (incluant les organismes du secteur de l’éducation) traitent les renseignements personnels, y compris lorsque ces données sont traitées par des fournisseurs de services.

Ce bulletin analyse les conclusions principales des enquêtes menées auprès de PowerSchool et offre des leçons pratiques aux établissements du secteur public sur la façon de gérer les fournisseurs et de protéger les données. Nombre de ces leçons, surtout celles concernant la sécurité des données et la gestion des fournisseurs, dépassent le cadre du secteur public et s’appliquent à toute entreprise qui traite ou stocke des renseignements personnels sensibles.

Contexte

En décembre 2024, un cyberattaquant a utilisé des authentifiants volés à un sous-traitant de PowerSchool pour accéder à PowerSource, un portail de soutien de l’entreprise, puis à plusieurs environnements de SIE. Bien que chaque client exploitât son propre environnement, le portail permettait à PowerSchool d’y accéder à distance aux fins de maintenance et de dépannage.

Au moment de l’attaque, les paramètres de soutien à distance de nombreux établissements étaient activés en tout temps, ce qui a permis au cyberattaquant d’accéder librement à leur SIE en utilisant les authentifiants volés. Ce dernier a ensuite volé des données appartenant à des millions de personnes au Canada, dont environ 3,86 millions d’Ontariens et plus de 700 000 Albertains.

Ces données comprenaient des renseignements sensibles sur les étudiants actuels et diplômés ainsi que sur leurs parents, tuteurs et enseignants. PowerSchool a versé une rançon au début de 2025, déclarant publiquement qu’elle estimait que cette action était dans l’intérêt de ses clients et des étudiants. Quelques mois plus tard, une autre tentative d’extorsion a ciblé deux conseils scolaires de l’Ontario, menaçant de divulguer les données volées en décembre 2024. Cet incident sert de rappel éloquent : le paiement de rançons ne garantit en aucun cas que les auteurs de menace respecteront leurs engagements.

Au contraire, cela finance les activités cybercriminelles et incite leurs auteurs à les poursuivre.

Conclusions principales

Les rapports des Commissaires se sont principalement concentrés sur les pratiques de protection de la vie privée des établissements (conseils scolaires et ministères) assujettis aux lois sur la protection des renseignements personnels dans le secteur public. Afin de déterminer et d’évaluer les lacunes de conformité de ces établissements, les Commissaires ont aussi formulé des conclusions à l’égard de PowerSchool.

Conclusions notables concernant PowerSchool :

Le sous-traitant de PowerSource ne disposait pas d’une authentification multifacteur. Les utilisateurs privilégiés pouvaient accéder aux environnements de SIE par l’intermédiaire de PowerSource en utilisant une authentification à un facteur, ce qui ne respectait pas les normes de l’industrie en matière d’accès infonuagique et à distance. De plus, les exigences de mot de passe de PowerSchool n’étaient pas suffisamment strictes pour l’authentification à un facteur.

L’accès à distance aux fins de maintenance était constamment activé. Le fait de toujours pouvoir accéder aux systèmes aux fins de maintenance a permis au cyberattaquant de consulter le SIE des clients par l’intermédiaire de PowerSource. Bien que PowerSchool ait indiqué que le soutien à distance était désactivé par défaut, le commissaire à l’information et à la protection de la vie privée de l’Alberta a plutôt conclu, d’après les commentaires reçus des établissements, qu’il était plus probable que le soutien à distance fût toujours activé par défaut.

Les systèmes clés étaient exclus des tests d’assurance. Bien que PowerSchool ait effectué des audits SOC 2 Type II et des tests d’intrusion, PowerSource était exclu du champ d’application de ces tests, malgré qu’il fournisse un point d’accès clair aux environnements de SIE des clients.

Conclusions notables concernant les établissements :

Des ententes étaient désuètes ou incomplètes. Beaucoup de contrats signés il y a plusieurs années étaient dépourvus de dispositions importantes ou de mécanismes d’application efficaces. Par exemple, de nombreuses ententes ne contenaient aucune disposition relative à la sous-traitance, à la sécurité, aux délais d’avis à la suite d’une violation de données, aux audits ou à la loi applicable.

Les mesures de surveillance n’étaient pas optimales. Les établissements se fiaient souvent à des déclarations ou certifications publiques sans obtenir de rapports d’audit ou effectuer d’évaluation des vulnérabilités, et beaucoup ne pouvaient pas faire valoir leur droit d’accès à ces documents malgré leurs droits contractuels.

Des données ont été conservées trop longtemps ou recueillies sans motif valable. Certains établissements ont recueilli des numéros de carte santé et des NAS sans qu’ils en aient clairement besoin. D’autres ont conservé des données pendant des décennies (dans certains cas jusqu’à 60 ans), ce qui a amplifié les conséquences de la violation de données.

L’accès à distance aux fins de maintenance était constamment activé. Bon nombre d’établissements ont laissé l’accès au soutien à distance activé, vulnérabilité que le cyberattaquant a exploitée. Les établissements qui n’ont pas laissé ce paramètre activé en tout temps n’ont pas été touchés par la violation de données.

Leçons de cybersécurité pour toutes les organisations Nous avons relevé, d’après les enquêtes menées auprès de PowerSchool, cinq principaux points que les organisations souhaitant mieux protéger leurs données doivent retenir.

Les bases de la sécurité sont importantes. L’authentification multifacteur, les mots de passe difficiles à deviner, l’accès à distance restreint et la journalisation adéquate sont des contrôles essentiels qui doivent être vérifiés et appliqués lorsque des renseignements personnels sensibles sont en cause.

Les contrats doivent avoir des dispositions contraignantes. Les ententes conclues avec les fournisseurs devraient comprendre des exigences de sécurité précises, des droits d’audit et des conséquences concrètes en cas de non-conformité.

La surveillance n’est pas facultative. Les organisations doivent surveiller activement les fournisseurs et leur exiger de démontrer qu’ils ont mis en place des contrôles de sécurité, surtout s’ils ont accès à d’importants volumes de renseignements personnels sensibles. Un organisme de réglementation ne les déchargera pas de leurs responsabilités, même si leur pouvoir de négociation est inégal.

Le stockage local peut présenter des vulnérabilités. Plutôt que de compter sur PowerSchool pour héberger leur SIE, de nombreux établissements ont opté pour un stockage local, souvent considéré comme une mesure de sécurité des données plus efficace. Cela dit, cette mesure n’a pas protégé les établissements dont l’accès à distance était activé en tout temps.

Moins de données, moins de risques. La minimisation des données et la suppression de celles qui sont inutiles réduisent le risque de violation de données. Dans l’affaire qui nous intéresse, l’établissement d’un échéancier approprié de conservation des données aurait réduit considérablement l’ampleur de l’incident pour certains établissements.

Conclusion

L’incident de PowerSchool souligne que la protection des données est une responsabilité partagée qui nécessite une vigilance à tous les niveaux. Les organisations qui confient l’accès des renseignements personnels sensibles à des fournisseurs tiers ne sont pas déchargées de leurs responsabilités. Tant dans le secteur public que privé, les établissements doivent instaurer des cadres solides de gestion des fournisseurs qui comprennent une vérification diligente rigoureuse, des protections contractuelles applicables, une surveillance active et des audits de sécurité périodiques.

En appliquant les leçons tirées de l’incident de PowerSchool, les organisations peuvent mieux protéger les personnes dont elles détiennent les données. Les enjeux sont particulièrement élevés lorsque des enfants sont concernés. Les autorités de protection de la vie privée continuent d’accorder la priorité à la protection de la vie privée des enfants. Récemment, les autorités fédérales, provinciales et territoriales du Canada ont publié une résolution conjointe sur les technologies éducatives, qui souligne bon nombre des points soulevés dans les enquêtes menées auprès de PowerSchool.

Également, le Commissariat à la protection de la vie privée du Canada et le Commissaire à l’information et à la protection de la vie privée de l’Ontario se sont joints à plus de 30 autorités de protection de la vie privée dans le cadre du Ratissage d’Internet pour la protection de la vie privée du Global Privacy Enforcement Network, qui a examiné les pratiques des sites Web et des applications mobiles que les enfants utilisent couramment.

À propos de l’auteur

Robbie Grant est avocat en protection de la vie privée et des données chez McMillan.