En juillet 2026, Mount Royal University à Calgary a confirmé ce que beaucoup d'établissements redoutent : un incident de type rançongiciel. Des données liées à des étudiants et à des employés ont été extraites. Ensuite, certains fichiers ont été effacés pour compliquer la récupération. Ce n'est pas seulement un « vol de dossiers » — c'est une pression maximale sur l'organisation.
Ce qui s'est passé, en mots simples
Selon les avis publics de l'université, des dossiers sur des lecteurs de fichiers (utilisés par le personnel et les étudiants) ont été accessibles à un acteur non autorisé. Des informations personnelles ont pu être touchées. L'attaquant a aussi cherché à ralentir ou empêcher la restauration en détruisant des copies locales. L'établissement collabore avec des experts et les autorités, et a offert des mesures de suivi (comme une surveillance de crédit) aux personnes concernées.
Pourquoi les universités et collèges sont des cibles
- Ils détiennent beaucoup de données personnelles (identité, inscriptions, parfois documents sensibles).
- Les réseaux sont « ouverts » par nature : étudiants, visiteurs, appareils personnels, outils collaboratifs.
- Les budgets TI et les équipes ne grandissent pas aussi vite que la menace.
Les pirates ne cherchent pas forcément une « grande marque ». Ils cherchent un endroit où la perturbation fait mal — cours, services, téléphones, site web — et où une rançon peut sembler la solution rapide.
Leçons concrètes pour les établissements
- Sauvegardes hors du réseau principal, testées régulièrement. Une sauvegarde qu'on n'a jamais restaurée n'est pas une garantie.
- MFA sur les comptes admin, courriels et accès distants.
- Segmentation : un poste étudiant ne devrait pas pouvoir toucher toute la salle de serveurs.
- Plan de communication déjà prêt : qui informe les étudiants, les employés, la Commission de la protection de la vie privée.
Si on vous avise que vos données ont pu être touchées
Lisez l'avis officiel de l'établissement. Activez la surveillance de crédit proposée si elle est offerte. Surveillez vos comptes courriel et bancaires. Méfiez-vous des faux suivis : des fraudeurs envoient parfois de faux messages « au nom de l'université » après un incident médiatisé. En cas de doute, utilisez seulement les liens du site officiel de l'établissement.
L'incident de Mount Royal rappelle une réalité canadienne de 2026 : les écoles et collèges ne sont pas « trop petits » pour être ciblés. Ils sont, au contraire, trop riches en données pour être ignorés.