Le procureur général de New York et le Département des services financiers ont imposé des amendes totalisant 11,3 millions de dollars à GEICO et Travelers pour des mesures de cybersécurité inadéquates ayant conduit à la compromission des données personnelles de plus de 120.000 New-Yorkais. Les violations se sont produites lors d'une vaste campagne de piratage ciblant les applications de devis d'assurance automobile en ligne, permettant aux pirates d'accéder à des informations sensibles telles que les numéros de permis de conduire.
Les enquêtes menées par le bureau du procureur général et le Département des services financiers ont conclu que les deux entreprises n'avaient pas mis en place les contrôles de sécurité des données nécessaires et ne respectaient pas les réglementations de l'État en matière de cybersécurité. Par conséquent, GEICO paiera 9,75 millions de dollars et Travelers 1,55 million de dollars d'amendes.
Les failles de sécurité chez GEICO ont entraîné l'exposition des données d'environ 116.000 résidents, principalement via l'outil de devis des agents d'assurance de l'entreprise. La violation chez Travelers, qui est restée non détectée pendant plus de sept mois, a affecté environ 4.000 New-Yorkais. Les données volées ont ensuite été utilisées par des pirates pour déposer de fausses demandes d'allocations chômage pendant la pandémie de COVID-19.
Dans le cadre des accords, les deux entreprises sont tenues d'améliorer considérablement leurs protocoles de cybersécurité. Cela comprend le développement d'un programme complet de sécurité de l'information, la tenue d'un inventaire des données avec des garanties appropriées, la mise en place de procédures d'authentification raisonnables et l'amélioration des procédures de réponse aux menaces.
GEICO a accepté de mener une évaluation complète des risques de cybersécurité et de développer un plan d'action pour résoudre les problèmes potentiels. De même, Travelers devra examiner ses systèmes, évaluer les contrôles d'accès et renforcer les protections contre l'accès non autorisé aux informations personnelles non publiques.
Le Département des services financiers de l'État de New York a été proactif dans l'application des réglementations de cybersécurité, avec des ordonnances de consentement ayant entraîné plus de 100 millions de dollars d'amendes depuis la mise en œuvre de la réglementation sur la cybersécurité. L'amendement mis à jour, en vigueur depuis novembre 2023, vise à protéger davantage les entreprises et les consommateurs de New York.
Cette action d'application fait partie d'une série de mesures prises par la procureure générale Letitia James pour tenir les entreprises responsables de leurs mauvaises pratiques de cybersécurité et améliorer la protection des données. Ces accords soulignent l'engagement de l'État à assurer la sécurité des données des consommateurs et la résilience des institutions financières face aux menaces cybernétiques. Ces informations sont basées sur un communiqué de presse.
Cet article a été généré et traduit avec l'aide de l'IA et revu par un rédacteur. Pour plus d'informations, consultez nos T&C.