Incident de cybersécurité à l’OCRI — Pour les Investisseurs

Si vous avez reçu une lettre de l’OCRI ou un courriel de [email protected], sachez qu’ils sont légitimes. Il est sécuritaire de suivre les instructions qu’ils contiennent pour s’inscrire gratuitement aux services de surveillance du crédit auprès de TransUnion et d’Equifax.

L’OCRI ne communiquera pas avec vous par messagerie texte ni via les réseaux sociaux. L’organisme ne demandera pas non plus d’avoir accès à vos comptes bancaires ou de placement, ou que vous lui fournissiez de l’information pour faciliter l’accès à ceux-ci, pas plus qu’il n’exigera le moindre paiement de votre part.

L’Organisme canadien de réglementation des investissements (OCRI) est l’organisme d’autoréglementation pancanadien qui surveille l’ensemble des courtiers en placement et des courtiers en épargne collective au Canada. Notre mandat réglementaire est de protéger les investisseurs de toute conduite ou pratique inadéquate en matière de placements en surveillant la conduite des affaires des courtiers en placement et des courtiers en épargne collective au Canada, y compris leurs activités de négociation.

Seuls certains investisseurs canadiens ont été touchés par la faille de cybersécurité. À compter du 14 janvier 2026, l’OCRI a commencé à envoyer des lettres d’avis aux personnes touchées par le cyberincident qui pourraient prendre plusieurs semaines pour leur parvenir.

Si vous avez reçu une lettre d’avis de l’OCRI, c’est qu’une partie de vos renseignements a été touchée par le cyberincident. La lettre d’avis présente les catégories de renseignements qui ont été touchées. Actuellement, nous n’avons aucune raison de croire que vos renseignements ont été utilisés à mauvais escient de quelque manière que ce soit. De façon préventive, toutefois, nous offrons des services de surveillance du crédit et de protection contre le vol d’identité aux personnes concernées auprès de TransUnion et d’Equifax afin de détecter tout usage frauduleux potentiel de vos renseignements.

Les lettres d’avis ont été envoyées à compter du 14 janvier 2026 par courriel ou par courrier postal avec Postes Canada. Veuillez noter que plusieurs semaines pourraient s’écouler avant leur réception.

Vos renseignements ont été obtenus dans le cours normal des activités de l’OCRI et de son travail d’enquête, d’évaluation de la conformité et de surveillance des marchés.

En août 2025, l’OCRI a décelé un incident de cybersécurité. Nous avons pris des mesures immédiates pour contenir la menace, sécuriser nos systèmes et protéger les renseignements qui nous ont été confiés. Nous avons informé les forces de l’ordre ainsi que toutes les autorités compétentes, notamment les commissaires à la protection de la vie privée de l’ensemble du Canada. Après avoir neutralisé la menace, nous avons retenu les services d’un fournisseur tiers de premier plan pour mener une enquête judiciaire informatique et déterminer quels renseignements avaient été touchés. Après plus de 9 000 heures d’investigation, cette enquête a révélé qu’un sous-ensemble de données d’enquête, de conformité et de surveillance restreint, qui comprenait certains renseignements d’investisseurs, avait été copié de notre système.

Nous regrettons profondément que cela se soit produit et nous nous excusons pour tout inconvénient ou souci que l’incident a pu causer.

Si vous avez reçu un avis de l’OCRI, nous vous recommandons de vous inscrire aux services de surveillance du crédit et de protection contre le vol d’identité, qui vous sont offerts gratuitement pendant deux ans.

Nous vous recommandons aussi, à titre de bonne pratique, d’examiner périodiquement vos comptes de placement afin d’y détecter toute activité inhabituelle et de faire preuve de vigilance à l’égard des courriels, des messages texte ou des appels téléphoniques où l’on vous demande de fournir des renseignements sensibles ou de cliquer sur des liens ou des pièces jointes, même si les communications semblent provenir de l’OCRI ou d’une personne que vous connaissez ou à qui vous faites confiance.

Nous surveillons le Web clandestin et rien n’indique à l’heure actuelle que vos renseignements ont été utilisés à mauvais escient. Nous offrons des services gratuits de surveillance du crédit et de protection contre le vol d’identité aux personnes touchées comme mesure de précaution supplémentaire, et pour aider à détecter toute utilisation malveillante qui pourrait éventuellement survenir.

Nous avons avisé les personnes concernées dès que nous avons eu la confirmation que leurs renseignements personnels avaient été touchés. L’OCRI s’engage à protéger la sécurité et la confidentialité des renseignements qui lui sont confiés et s’est efforcé d’informer les personnes concernées le plus rapidement possible. L’enquête informatique sur le cyberincident et sur les données exposées était complexe et a demandé un certain temps pour bien cerner sa portée et les personnes touchées.

L’OCRI supprimera les données relatives aux investisseurs lorsqu’elles ne seront plus nécessaires à son travail d’enquête, d’évaluation de la conformité et de surveillance des marchés, mais il n’est pas possible de traiter les demandes de suppression provenant de personnes physiques pour le moment.

Nous prenons la sécurité des données très au sérieux. Cet incident a été le résultat d’une attaque sophistiquée. Au vu des caractéristiques propres à cette attaque, nous avons mis plusieurs mesures en place pour améliorer nos pratiques de sécurité des données. Nous continuerons aussi de chercher des moyens de renforcer les barrières de cybersécurité de l’OCRI et d’évaluer comment nous pouvons rehausser collectivement nos stratégies de défense et nos pratiques exemplaires de cybersécurité dans l’ensemble du secteur des placements.

• Si vous avez reçu une lettre d’avis de l’OCRI, vous pouvez obtenir de l’aide en vous inscrivant gratuitement aux services gratuits de surveillance du crédit et de protection contre le vol d’identité; il suffit de suivre les instructions en pièce jointe.
• Si vous avez reçu un avis de l’OCRI et avez d’autres questions concernant l’incident de cybersécurité, veuillez communiquer avec nous en suivant les instructions figurant dans la lettre.
• Si vous n’avez pas reçu d’avis de l’OCRI, veuillez composer le 1 877 442-4322, sélectionner votre langue de préférence et appuyer sur le 7.

La lettre mentionnait bien la possibilité de « verrouiller » votre dossier de crédit, mais ce service n’est pas encore en vigueur en Colombie-Britannique.

Le gouvernement de la province a promulgué une loi permettant le verrouillage des dossiers de crédit, mais ce changement n’a toujours pas pris effet. Nous nous excusons d’avoir fourni des instructions qui ne peuvent pas être suivies pour le moment dans votre province.

Comment puis-je me protéger aujourd’hui? Si le verrouillage n’est pas une option actuellement en Colombie-Britannique, vous pouvez tout de même prendre les trois mesures importantes suivantes :

1. Inscrivez-vous au service gratuit de surveillance du crédit – utilisez le code d’activation figurant dans votre lettre pour vous inscrire à ce service que nous vous offrons. C’est la meilleure façon de demeurer au courant de toute activité ayant lieu dans votre dossier.
2. Ajoutez une alerte à la fraude – vous pouvez tout de même communiquer avec Equifax ou TransUnion pour faire ajouter une alerte à la fraude dans votre dossier. Les prêteurs seront ainsi informés de prendre des mesures supplémentaires pour vérifier votre identité avant de vous accorder du crédit.
3. À venir – Lorsque prendra effet le règlement de la Colombie-Britannique relatif au verrouillage du dossier de crédit, vous pourrez demander aux deux agences d’évaluation du crédit qu’elles verrouillent votre dossier.

Vos renseignements se trouvaient parmi les données compromises lors d’un cyberincident précédemment déclaré par l’OCRI.

Certains des renseignements que nous avons trouvés au moyen du processus d’investigation électronique étaient fragmentés ou incomplets, ou ils ne nous permettaient pas de communiquer avec vous en raison de leur insuffisance. Cependant, par mesure de précaution, nous avons pris des mesures pour déterminer s’il y avait d’autres façons d’assembler ces renseignements. Nous avons collaboré avec les courtiers en placement et courtiers en épargne collective membres de l’OCRI pour associer les coordonnées qu’ils avaient en dossier aux renseignements que nous avions trouvés afin que nous puissions aviser les personnes touchées. Ce processus d’association s’est révélé difficile et compliqué, ce qui a retardé l’envoi des avis.

Non. Les avis transmis à la fin de mars et au début d’avril constituent la dernière série d’avis.

Non. Rien n’indique à ce jour que les renseignements associés à cet incident ont été utilisés à mauvais escient ou mis à la disposition du public.