Incident de cybersécurité impliquant des assurés de MÉDIC Construction

Le 13 octobre 2023, la Commission de la construction du Québec (CCQ) a été informée par un de ses fournisseurs que des données confidentielles concernant la majorité des assuré(e)s de MÉDIC Construction ont fait l’objet d’un incident de cybersécurité.

Ce n’est que le 24 octobre, à la suite d’une analyse effectuée par la CCQ, qu’il a été constaté que les renseignements personnels d’assurés MÉDIC Construction ont été touchés par le bris de sécurité ainsi que l’identité des personnes concernées.

Jusqu’à maintenant, nous n’avons aucune indication que les données touchées ont été divulguées ou utilisées à mauvais escient. Les systèmes informatiques de la CCQ ne sont pas affectés par cet incident. Les opérations courantes se poursuivent et les services en ligne fonctionnent normalement.

Tous les assurés de MÉDIC Construction ont reçu une lettre entre le 7 et le 15 novembre 2023 précisant les actions à prendre en lien avec leur situation.

Cette lettre contenait toutes les informations relatives à l’offre de services de protection d’Equifax pour les assurés et leurs personnes à charge touchées. Pour obtenir plus d’informations, consultez la foire aux questions ci-dessous.

La protection et la sécurité des renseignements personnels que détient la CCQ sont une priorité absolue et nous regrettons vivement toute inquiétude que cette situation pourrait vous causer.

Que s’est-il passé?

Le 13 octobre dernier, la Commission de la construction du Québec (CCQ) a été informée par un de ses fournisseurs que des données confidentielles concernant la majorité des assurés de MÉDIC Construction ont fait l’objet d’un incident de cybersécurité.

Afin de gérer et d’administrer les réclamations d’assurance de MÉDIC Construction, la CCQ fait affaire avec le fournisseur GreenShield Canada (GSC). Ce dernier utilise la plateforme spécialisée MOVEit, pour assurer un transfert sécurisé de données. Or, la brèche de cybersécurité dont il est ici question a eu lieu en mai dernier, dans le cadre d'un incident bien documenté touchant MOVEit, impliquant près de 66 millions d’individus à l’échelle mondiale.

Ce n’est que le 24 octobre, à la suite d’une analyse effectuée par la CCQ, qu’il a été constaté que les renseignements personnels d’assurés MÉDIC Construction ont été touchés par le bris de sécurité ainsi que l’identité des personnes concernées.
Combien de personnes ont-elles été touchées par l’incident de cybersécurité?

La majorité des assurés de MÉDIC Construction ainsi que leurs personnes à charge ont été touchés par l’incident. À l’échelle mondiale, la brèche de sécurité implique 66 millions d’individus.
Comment savoir si mes personnes à charge ou moi faisons partie des personnes touchées?

Les assurés de MÉDIC Construction concernés par l’incident de cybersécurité ont déjà reçu une lettre de la Commission de la construction du Québec. Les lettres ont été envoyées le 6 novembre 2023.

Les assurés qui n’ont pas été touchés ont également reçu une lettre confirmant qu’ils n’ont aucune mesure à prendre.
J’ai reçu deux lettres de votre part concernant l’incident de cybersécurité. Que dois-je faire?

Si vous avez reçu deux lettres concernant l’incident de cybersécurité, considérez que celle vous informant que vous êtes visé par l’incident prédomine.
Que faire si mes données sont touchées par l’incident?
À titre d’assuré de MÉDIC Construction, vous devez aviser vos personnes à charge, le cas échéant, de cette situation, ainsi que des mesures qu’ils peuvent prendre pour se protéger.

Pour obtenir plus d'informations ou pour toutes questions supplémentaires, communiquez avec le service à la clientèle au 1 888 842-8282, du lundi au vendredi, de 8h30 à 16h30.

Au moment de l'incident, nous recommandions fortement d’utiliser les services de surveillance du crédit et de protection contre le vol d’identité d’Equifax. À la suite de cet incident, un abonnement de 24 mois a été offert gratuitement aux assurés de MÉDIC Construction touchés, ainsi qu’à leurs personnes à charge de 18 ans et plus. Les renseignements sur les modalités d’abonnement à ces services se trouvaient dans la lettre qui vous a été envoyée. Vous aviez jusqu’au 29 février 2024 pour activer votre compte.
Quelles sont les données de mon dossier qui sont potentiellement touchées par l’incident?
Cet incident de cybersécurité touche uniquement les renseignements personnels suivants à votre sujet et à celui de vos personnes à charge :

Nom, prénom, genre;

Adresse résidentielle et électronique (excluant les personnes à charge);

Numéro de téléphone (excluant les personnes à charge);

Date de naissance;

Numéro de compte bancaire (excluant les personnes à charge);

Certains éléments sommaires relativement à des réclamations.

Tous les autres renseignements détenus par la CCQ, notamment votre numéro d’assurance sociale, n’ont pas été touchés.
Il y a eu un délai entre l’annonce de la fuite massive de MOVEit et la confirmation que des données des assurés de MÉDIC Construction avaient été touchées. Comment expliquez-vous cela?

Bien que l’événement à l’origine de la brèche de cybersécurité soit survenu en mai dernier, il est important de préciser que la CCQ a été informée le 13 octobre dernier par un de ses fournisseurs que des données confidentielles d’assurés et de leurs personnes à charge de MÉDIC Construction étaient concernées. Ce n’est toutefois que le 24 octobre, à la suite d’une analyse effectuée par la CCQ, qu’il a été constaté précisément les renseignements personnels potentiellement touchés par le bris de sécurité ainsi que l’identité des personnes concernées.
Est-ce que la situation a un impact sur mes avantages sociaux ou mes services MÉDIC Construction?

Non. Cette situation n’a aucun impact sur vos avantages sociaux (chèque de vacances, rente, etc.) et les services offerts par MÉDIC Construction.
Quelles mesures sont prises pour s’assurer que cette situation ne survienne pas de nouveau?
La CCQ prend très au sérieux la protection des renseignements personnels de ses clients. En ce sens, nous posons des gestes concrets, notamment ceux-ci :

Prise en charge et suivi serré avec le fournisseur pour l’application de mesures rigoureuses;

Maintien d’une vigie sur toutes les plateformes numériques, incluant les sites de piratage, afin d’identifier si une utilisation malveillante des données est effectuée.

Examen par un conseil externe afin de recommander toute nouvelle pratique à mettre en place, notamment avec nos fournisseurs, afin d’éviter qu’une telle situation se reproduise;

Déclarations obligatoires à la Commission d’accès à l’information du Québec et au Registre d’incident.
Je suis inquiet pour la sécurité de mes données et celles de mes personnes à charge. Quelles mesures devrais-je prendre, par précaution?

Plusieurs mesures peuvent être prises pour protéger vos renseignements personnels.

Surveillez vos comptes : consultez régulièrement vos comptes de banque et autres comptes en ligne pour déceler toute activité suspecte. Signalez toute opération non autorisée ou préoccupation à votre institution financière.

Changez vos mots de passe : par précaution, changez régulièrement les mots de passe de tous vos comptes en ligne. Choisissez des mots de passe difficiles à deviner et évitez de les réutiliser sur différentes plateformes.

Faites preuve de vigilance : redoublez de prudence, lorsque vous recevez des courriels (notamment ceux qui comportent un lien ou une pièce jointe suspects), des messages ou des appels téléphoniques non sollicités vous demandant de fournir des renseignements personnels.
J’ai encore des questions. À qui puis-je m’adresser?

Pour toute question ou préoccupation concernant cet incident, nous vous invitons à communiquer avec le service à la clientèle au 1 888 842-8282, du lundi au vendredi, de 8 h 30 à 16 h 30.
Qu’est-ce que MÉDIC Construction?

MÉDIC Construction est un régime d'assurance privé réservé exclusivement aux membres de l'industrie de la construction et entièrement financé par ces derniers. Pour en savoir plus.
Qu’est-ce qu’une personne à charge?
Une personne à charge d’un assuré (salarié ou retraité) peut bénéficier de protections d’assurance lorsqu’elle est reconnue par MÉDIC Construction. Pour ce faire, l'assuré doit déclarer ses personnes à charge et fournir les pièces justificatives requises.

Les personnes à charge d’un salarié ou d’un retraité peuvent être :

son conjoint;

ses enfants à charge;

les enfants de son conjoint qui sont à la charge du salarié.

Pour en savoir plus sur les personnes à charge, cliquez ici.
Que dois-je faire si je crois avoir fait l’objet d’une fraude?
Jusqu’à maintenant, nous n’avons aucune indication que les données touchées ont été divulguées ou utilisées à mauvais escient. Toutefois, si vous croyez être victime d’une fraude :

Communiquez avec votre service de police local le plus tôt possible;

Informez votre institution financière et votre fournisseur de carte de crédit en cas d’incident financier;

Contactez Equifax afin qu’ils effectuent les actions nécessaires pour votre situation;

Signalez l’incident au Centre antifraude du Canada

Signalez aux autorités compétentes tout document ou toute pièce d’identité concernée;

Changez vos mots de passe et surveillez vos comptes régulièrement.
J’aimerais formuler une plainte à la CCQ, où puis-je le faire?

Vous pouvez formuler une plainte en ligne en remplissant le formulaire électronique prévu à cet effet.