We are writing to let you know about a cyber incident perpetrated against InvestorCOM Inc. by an unauthorized third party. InvestorCOM is  a service provider used by Empire Life and our subsidiary, Empire Life Investments Inc. (ELII), to generate and distribute certain types of customer communications. 

Upon learning from InvestorCOM that some of our customer data was potentially affected, we took immediate steps to respond to the incident. We activated our incident team and worked with external cyber security experts to conduct an independent investigation. 

Based on information provided by InvestorCOM and our own investigation, we have now been able to determine that personal information, including in some cases sensitive information, belonging to Empire Life segregated fund policyholders and ELII’s former mutual fund account holders was affected in the incident. 

Some advisors contracted with your organization have clients affected by this incident. We have contacted each one of these advisors directly and provided them with a list of their impacted clients. Please use the download links at the bottom of this email to access sample copies of the letter being sent to clients.

Please see the important information below for the steps Empire Life is taking to inform your advisors’ clients and provide them with resources to help protect themselves.

What you need to know:

• The incident did not affect Empire Life computer systems.
• Empire Life does not use InvestorCOM to provide services to our group benefit or life insurance customers; therefore, none of these accounts have been affected.
• We are notifying affected customers by mail, beginning Thursday, May 25, 2023, about what happened, how it affects them and how we’re handling the situation (see sample letter attached).
• We will provide the affected customers with the phone number for a dedicated call centre to support them and we are paying for three years of credit monitoring services and up to $1 million in identity theft insurance coverage for them through Equifax Canada.
• Individuals must be at least 18 years of age and have a credit file to enroll in the credit monitoring program. Minor annuitants and those without credit files will be encouraged to sign up for a free fraud alert service through TransUnion Canada.
• We have communicated with any of your contracted advisors whose clients’ information was affected in this incident.
• We’ve notified the appropriate regulators and privacy commissioners.

We deeply regret that this incident occurred. The security and well-being of the information entrusted to us is our responsibility and our priority. We regularly review cyber security and our oversight of third-party providers, and we will continue to take steps to recognize and prevent cyber attacks. We’re treating the incident and the investigation with the utmost urgency and importance.

Download sample client letter

Segregated Fund contracts are issued by The Empire Life Insurance Company (“Empire Life”). A description of the key features of the individual variable insurance contract is contained in the Information Folder for the product being considered. Any amount that is allocated to a segregated fund is invested at the risk of the contract owner and may increase or decrease in value. Please read the information folder, contract and fund facts before investing. Past performance is no guarantee of future performance. All returns are calculated after taking expenses, management and administration fees into account.

Nous désirons vous informer d’un cyberincident perpétré à l’encontre d’InvestorCOM par un tiers non autorisé. InvestorCOM est un fournisseur de services que l’Empire Vie et sa filiale, Placements Empire Vie Inc., utilisent pour générer et distribuer certains types de communications à l’intention des clients. 

Dès que nous avons appris d’InvestorCOM que les données de certains de nos clients avaient été potentiellement compromises, nous avons pris des mesures immédiates pour traiter cet incident. Nous avons formé notre équipe chargée de l’incident et avons travaillé avec des experts externes en cybersécurité pour mener une enquête indépendante. 

Selon l’information fournie par InvestorCOM et notre propre enquête, nous avons maintenant pu déterminer que des renseignements personnels, incluant dans certains cas de l’information sensible, appartenant à des titulaires de polices de fonds distincts de l’Empire Vie et à d’anciens titulaires de comptes de fonds communs de Placements Empire Vie Inc., ont été compromis par suite de cet incident.

Certains conseillers sous contrat auprès de votre organisation ont des clients touchés par cet incident. Nous avons communiqué avec chacun de ces conseillers directement et leur avons fourni une liste de leurs clients touchés. Veuillez utiliser les liens au bas de ce courriel pour accéder à des exemples de lettres que nous envoyons aux clients.

Veuillez lire l’information importante ci-dessous pour connaître les étapes que prend l’Empire Vie pour informer les clients de vos conseillers et leur fournir des ressources pour contribuer à les protéger.

Ce que vous devez savoir :

• Cet incident n’a pas directement affecté les systèmes informatiques de l’Empire Vie.
• L’Empire Vie n’a pas recours à InvestorCOM pour fournir des services à ses clients d’assurance collective ou d’assurance vie; aucun de ces comptes n’est donc en cause dans cet incident.
• Nous avisons par la poste à compter du jeudi 25 mai 2023 les clients touchés de ce qui est arrivé, de la façon dont ils sont touchés et de la façon dont nous traitons la situation (voir la lettre modèle ci‑jointe).
• Nous fournirons aux clients touchés le numéro de téléphone d’un centre d’appels dédié pour les aider et payons pendant trois ans des services de surveillance de crédit et une couverture d’assurance jusqu’à 1 million de dollars en cas de vol d’identité auprès d’Equifax Canada.
• Les personnes doivent avoir au moins 18 ans et un dossier de crédit pour adhérer au programme de surveillance de crédit. Nous encouragerons les rentiers mineurs dont les renseignements ont été compromis et les personnes qui n’ont pas de dossier de crédit à adhérer à un service d’alerte de fraude sans frais auprès de TransUnion Canada.
• Nous avons communiqué avec vos conseillers sous contrat qui ont des clients dont les renseignements ont été compromis par suite de cet incident.
• Nous avons avisé les autorités de règlementation et les commissaires à la vie privée appropriés. 

Nous regrettons profondément que cet incident ait eu lieu. La sécurité et le bien-être de nos clients et la protection des renseignements personnels qu’ils nous confient sont notre responsabilité et notre priorité. Nous revoyons régulièrement la cybersécurité et notre supervision des tiers fournisseurs, et nous continuerons à prendre des mesures pour détecter et prévenir les cyberattaques. Nous traitons cet incident et l’enquête avec la plus grande urgence et importance. 

Télécharger le modèle de lettre envoyée aux clients 

Les contrats de fonds distincts sont établis par L’Empire, Compagnie d’Assurance-Vie (Empire Vie). La brochure documentaire du produit considéré décrit les principales caractéristiques de chaque contrat individuel à capital variable. Tout montant affecté à un fonds distinct est placé aux risques du titulaire de contrat, et la valeur du placement peut augmenter ou diminuer. Veuillez lire la brochure documentaire, le contrat et l’aperçu du fonds avant d’investir. Le rendement passé ne garantit pas les résultats futurs. Tous les taux de rendement sont calculés déduction faite des charges, des frais de gestion et des frais d’administration.