Problème de configuration de l'API avec le Portail des étudiants de l'AFMC

Apprenants
Catégorie
Nouvelles
Publications semblables
Mettre en valeur l'innovation et les travaux d'érudition dans l'enseignement médical et la recherche en santé
février 21, 2023
La Dre Geneviève Moineau sera la prochaine vice-présidente de la Fédération mondiale pour l’éducation médicale (WFME)
Décembre 6, 2022
WFME was established in 1972 by the World Medical Association (WMA) and the World Health Organization (WHO) to enhance the quality of medical education worldwide.

Nous souhaitons vous informer d'un incident récent concernant la configuration de l'interface de programmation d'applications (API) du Portail des étudiants de l'AFMC. Le 1er juin 2023, on a découvert que l'API présentait un problème qui a entraîné un accès non autorisé aux données relatives aux apprenants par une entité tierce. Nous prenons cette affaire très au sérieux et souhaitons la régler rapidement et de manière transparente.

L'incident s'est produit lorsque le Bureau de coopération interuniversitaire (BCI), une agence du gouvernement du Québec qui fournit des services aux facultés du Québec, y compris le traitement des stages à option pour étudiants visiteurs, a signalé des erreurs avec l'API le 25 mai. Ces erreurs ont été résolues par notre fournisseur, In Place, le 31 mai. Cependant, le 1er juin, le BCI nous a informés qu'il recevait des renseignements sur des apprenants qui n'avaient pas fait de demande d'inscription à la faculté d'où les renseignements étaient extraits par l’intermédiaire de l'API.

Après enquête, il a été déterminé que les protocoles de sécurité de l'API ne fonctionnaient pas correctement, ce qui a conduit à cette violation. Nous avons immédiatement créé un ticket d'urgence avec notre fournisseur pour rectifier la situation. Nous avons confirmé que le BCI était la seule entité ayant accès à l'API de production lors de cet incident et que le problème avait été résolu.

Nous tenons à vous assurer que la protection de vos renseignements personnels est de la plus haute importance pour l'AFMC. Nous regrettons les désagréments ou les inquiétudes que cette violation a pu causer et tenons à souligner notre engagement à résoudre le problème.

Mesures prises pour remédier à la situation

  • Résolution : Notre fournisseur pour le Portail a résolu le problème et mis en œuvre les changements de configuration nécessaires pour garantir le bon fonctionnement des protocoles de sécurité.
  • Mise à jour de la documentation : Nous avons demandé à notre fournisseur de mettre à jour sa documentation afin de fournir des instructions détaillées sur le processus de configuration du compte utilisateur de l'API.
  • Processus de vérification : L'AFMC procédera à une vérification supplémentaire de l'API après chaque nouvelle version de In Place afin de garantir l'intégrité du système.
  • Certificat de destruction : Nous demanderons à BCI de fournir un certificat de destruction pour confirmer la suppression de toutes les copies des données reçues lors de cette violation.

La protection de vos renseignements personnels et de votre vie privée est notre priorité. Nous avons tiré les leçons de cet incident afin de renforcer nos processus et d'éviter de potentielles récidives. Nous nous excusons pour les désagréments ou la détresse que cet incident a pu vous causer.

Si vous avez des questions ou des inquiétudes concernant cette violation, n'hésitez pas à communiquer avec nous à l'adresse privacy@afmc.ca. Nous vous remercions de votre compréhension et de votre coopération dans la gestion de cet incident.

Foire aux questions (FAQ) :

Q : Que s'est-il passé avec la configuration de l'API dans le Portail des étudiants de l'AFMC?

R : Le Portail des étudiants permet d'utiliser une interface de programmation d'applications (API) standard pour extraire des données du Portail et les transmettre à d'autres applications utilisées par les facultés pour coordonner les stages à option. Le fournisseur du Portail a apporté une amélioration qui incluait des protocoles de sécurité pour garantir que les utilisateurs de l'API ne verraient que les renseignements relatifs à leur faculté. Le 1er juin 2023, on a découvert qu'il y avait un problème avec la configuration de l'API, ce qui a entraîné un accès non autorisé aux renseignements sur les apprenants par une entité tierce, le BCI. Cette violation a touché les apprenants qui n'avaient pas présenté de demande d'admission à Montréal, en dehors du Québec.

Q : Comment la violation a-t-elle été identifiée?

R : Le BCI a signalé que son système rejetait un grand nombre de dossiers. L'enquête a révélé que le système recevait (et rejetait) des dossiers d'étudiants qui n'avaient pas fait de demande d'admission à Montréal. Cela a déclenché une enquête, et il a été déterminé que les protocoles de sécurité de l'API ne fonctionnaient pas correctement, ce qui a conduit à la violation.

Q : Le problème a-t-il été résolu?

R : Oui, le problème a été résolu. Notre fournisseur, In Place, a identifié et corrigé les paramètres de configuration qui n'étaient pas correctement définis au niveau régional. La violation a été corrigée et des mesures ont été mises en place pour éviter de nouvelles erreurs de configuration.

Q : Quel est l'impact de cette violation sur les apprenants dont les renseignements ont été consultés par le BCI?

R : Nous tenons à vous assurer que l'impact de cette violation est limité. Le BCI est une agence du gouvernement du Québec qui fournit des services aux facultés du Québec, y compris le traitement des stages à option pour étudiants visiteurs, et le problème était contenu dans leur accès. L'accès non autorisé n'a pas été rendu public et le BCI a confirmé qu'aucun dossier d'apprenant provenant de l'extérieur du Québec n'a été traité par son système. Bien que nous prenions au sérieux toute violation de données personnelles, nous tenons à souligner que la violation était limitée à l'accès du BCI et que des mesures ont été prises pour résoudre le problème et éviter qu'il ne se reproduise à l'avenir.

Q. Qui est le Bureau de coopération interuniversitaire (BCI)?

R : Sous les auspices du Comité des affaires médicales (MEDU), le BCI coordonne le respect des politiques gouvernementales en matière d'admission aux programmes universitaires de médecine au Québec, tant pour les programmes de premier cycle menant à un doctorat en médecine que pour les programmes postdoctoraux. Il favorise également le dialogue et la collaboration entre les quatre facultés de médecine par le biais des travaux de la Conférence des doyens des facultés de médecine du Québec (CDFM), de la Conférence des vice-doyens exécutifs (CVDEX), de la Conférence des vice-doyens aux études médicales postdoctorales (CVDFM), de la Conférence des vice-doyens aux études médicales de premier cycle (CVDPCFM) et du Comité interfacultaire québécois des admissions en médecine (CIQAM).