Dans un nouvel exemple soulignant l’importance cruciale des systèmes robustes de cybersécurité et de protection des données, le Procureur Général de New York (OAG) et le Département des Services Financiers de l’État de New York (DFS) ont infligé une amende collective de 11,3 millions de dollars aux compagnies d’assurance GEICO et Travelers Indemnity Company suite à une série de violations de données affectant les informations des clients.
Dès la fin de l’année 2020, des cybercriminels ont accédé à des données non publiques comme les numéros de permis de conduire, les dates de naissance et les informations sur les véhicules dans le cadre d’une campagne coordonnée à l’échelle de l’industrie. Selon l’OAG, les informations personnelles de plus de 120 000 habitants de New York ont été compromises. En plus des pénalités financières, les deux compagnies d’assurance devront élaborer des plans d’action approuvés pour renforcer leurs systèmes de sécurité des données.
En janvier 2021, le DFS a averti plusieurs entités d’assurance réglementées, y compris GEICO et Travelers, qu’il avait reçu des rapports concernant une vaste campagne de cybercriminalité visant à dérober des données via des outils de devis d’assurance automobile en ligne. L’alerte a ordonné aux compagnies de reconsidérer immédiatement la sécurité de leurs sites Web destinés aux clients. GEICO a connu deux violations de données ce mois-là.
Les Violations de GEICO
GEICO a signalé un incident de cybersécurité au DFS à la fin de janvier 2021, où des acteurs malveillants ont extrait des numéros de permis de conduire des clients via l’outil de devis en ligne de GEICO. Peu après, le DFS a émis un avertissement à l’échelle de l’industrie concernant ces outils de devis instantané. GEICO a ensuite rapporté un second incident de cybersécurité au cours duquel des informations supplémentaires non publiques des clients ont été accédées.
Malgré l’avertissement du DFS et ces deux violations de données, ce dernier a déclaré que GEICO n’avait pas effectué de révision approfondie de ses systèmes de sécurité des données pour prévenir de futures cyberattaques. En conséquence, GEICO a signalé un troisième incident de cybersécurité au DFS en mars 2021. Au total, environ 116 000 New-Yorkais ont été touchés par les cyberattaques sur GEICO, la majorité des données ayant été récupérées via l’outil de devis en ligne. Certaines des informations exposées ont été utilisées pour déposer des demandes de chômage.
La Violation de Travelers
De manière similaire, Travelers a subi une cyberattaque via l’outil de devis d’assurance automobile utilisé par ses agents indépendants. En avril 2021, des hackers ont accédé au portail des agents de Travelers en utilisant des identifiants compromis, ce qui leur a permis d’accéder aux numéros de permis de conduire des clients, y compris les données d’environ 4 000 résidents de New York. Selon le DFS, le portail d’agents d’assurance était protégé par mot de passe, mais ne recourait pas à une authentification multifactorielle.
Pénalités
Après enquête, le DFS a conclu que les deux entreprises n’étaient pas conformes aux exigences de cybersécurité établies dans la Partie 500 du 23 NYCRR. Par des accords conclus avec l’OAG et le DFS, GEICO et Travelers ont convenu d’améliorer leurs systèmes respectifs de sécurité des données et de payer des amendes. GEICO devra acquitter 9,75 millions de dollars, tandis que Travelers devra s’acquitter de 1,55 million de dollars.
Les accords de règlement exigent que les compagnies d’assurance adoptent de nouvelles mesures pour renforcer leurs pratiques en matière de cybersécurité. Ces mesures incluent :
- Développer et maintenir un inventaire des données privées et garantir la protection de ces informations par des mesures de sécurité appropriées ;
- Assurer des procédures d’authentification raisonnables pour l’accès aux informations privées ;
- Maintenir un système de journalisation et de surveillance ainsi que des politiques et procédures adéquates pour configurer ce système de manière à signaler les activités suspectes ;
- Améliorer leurs procédures de réponse aux menaces.
De plus, GEICO est tenu de réaliser une évaluation des risques et d’élaborer un plan d’action, approuvé par le DFS, pour remédier aux zones de risque. Travelers, quant à lui, doit réaliser un examen interne de tous ses systèmes d’information et développer également un plan d’action approuvé par le DFS pour traiter les risques identifiés.
Notre point de vue
Il est essentiel de souligner que les récents incidents de cybersécurité au sein des compagnies d’assurance mettent en lumière la vulnérabilité croissante des systèmes de données face aux cybermenaces. En tant que société dépendante d’Internet pour la gestion des informations sensibles, il est impératif que les entreprises renforcent leurs mesures de protection. Ce n’est qu’en adoptant une approche proactive et en investissant dans des systèmes de sécurité avancés qu’elles pourront protéger efficacement leurs clients. La vigilance continue sera un atout essentiel pour anticiper et prévenir de futures violations.
- Source image(s) : www.jdsupra.com
- Source : https://www.jdsupra.com/legalnews/insurance-companies-face-11-3-million-3432732/