Mise à jour de l’Organisme canadien de réglementation des investissements concernant l’accès non autorisé à certaines données sur les investisseurs canadiens

Toronto (Ontario), le 14 janvier 2026. - L'Organisme canadien de réglementation des investissements (OCRI) confirme que l'attaque d'hameçonnage complexe dont il a annoncé avoir été victime en août 2025 a touché environ 750 000 investisseurs canadiens.

Nous regrettons profondément que cela se soit produit et nous nous excusons pour tout inconvénient ou souci que l'incident a pu causer.

L'OCRI communique actuellement avec les investisseurs concernés pour les informer de la situation et leur offrir des services de surveillance du crédit à titre de précaution supplémentaire.

« Nous avons l'intention de faire ce qu'il faut pour les personnes qui ont été touchées, a déclaré Andrew Kriegler, président et chef de la direction de l'OCRI. Nous prenons notre rôle d'intérêt public très au sérieux. Les questions de vie privée et de sécurité nous préoccupent grandement, puisqu'elles s'inscrivent dans nos valeurs organisationnelles directrices de transparence et d'imputabilité. C'est pourquoi nous demeurons déterminés à renforcer davantage nos cyberdéfenses et nos pratiques de sécurité des données, ainsi qu'à appuyer les efforts soutenus, à cet égard, de l'ensemble du secteur des placements. »

Les catégories de renseignements ci-après peuvent avoir été compromises : la date de naissance, les numéros de téléphone, le salaire annuel, le numéro d'assurance sociale, les numéros de pièces d'identité gouvernementales, les numéros de compte de placement et les relevés de comptes. L'OCRI ne recueille pas de données de connexion aux comptes, comme les mots de passe, les questions de sécurité et les numéros d'identification personnels. Ces informations ne sont donc pas à risque.

En ce qui concerne les renseignements compromis, l'OCRI les obtient pour remplir sa mission réglementaire de protection des investisseurs contre les pratiques et les conduites inappropriées en matière de placement, et pour accomplir son travail d'enquête, d'évaluation de la conformité et de réglementation des marchés.

Protéger les investisseurs canadiens

L'OCRI a rapidement contenu la menace et pris des mesures immédiates pour sécuriser ses systèmes et protéger les renseignements qui lui ont été confiés. Nous avons informé les forces de l'ordre ainsi que toutes les autorités compétentes, notamment les commissaires à la protection de la vie privée. Nous avons retenu les services d'un fournisseur tiers de premier plan pour mener une enquête judiciaire informatique et déterminer quels renseignements avaient été obtenus.

L'OCRI a lancé une enquête approfondie avec le soutien d'experts externes en cybersécurité. Notre investigation préliminaire a révélé que les renseignements relatifs à l'inscription des sociétés membres et des personnes inscrites avaient été compromis. Nous avons immédiatement divulgué ces conclusions publiquement et les avons communiquées directement à nos membres et aux personnes inscrites touchées. Nous avions alors précisé que l'enquête était toujours en cours et nous nous étions engagés à communiquer les résultats définitifs de la procédure d'investigation numérique une fois celle-ci achevée. Après plus de 9 000 heures d'examen, nous pouvons maintenant confirmer toute l'ampleur de l'incident.

Rien n'indique à l'heure actuelle que les renseignements ont été utilisés à mauvais escient. Nous continuons de surveiller les activités malveillantes et n'avons pas détecté de menace ou d'exposition au Web clandestin.

Par mesure de précaution et afin d'aider les investisseurs touchés à détecter toute utilisation malveillante de leurs renseignements, l'OCRI leur offre, pour une durée de deux ans, des services de surveillance du crédit et de protection contre le vol d'identité auprès des deux grandes agences d'évaluation du crédit. Des instructions détaillées sur la façon d'activer ces services de protection seront communiquées directement aux personnes touchées.

Renseignements supplémentaires

Seuls certains clients ou anciens clients de courtiers membres de l'OCRI ont été touchés par l'incident de cybersécurité. À compter du 14 janvier 2026, l'OCRI a commencé à envoyer des lettres d'avis aux clients touchés par le cyberincident. Si vous n'avez pas reçu de lettre d'avis de l'OCRI, mais désirez confirmer si vos renseignements sont touchés et si vous devriez en recevoir une, vous pouvez présenter une demande à l'OCRI à cet effet au moyen du formulaire de communication mis à votre disposition dans la section réservée au cyberincident sur le site Web de l'OCRI (ocri.ca).