Huit compagnies d’assurance automobile verseront 14,2 millions $ (13,1 millions d’euros) à l’État de New York après des violations de données ayant touché plus de 825 000 personnes.
La procureure générale de New York, Letitia James, a infligé 14,2 millions $ (13,1 millions d’euros) d’amendes à huit compagnies d’assurance automobile pour négligences en cybersécurité. Des cybercriminels ont exploité leurs outils de devis pour obtenir des données sensibles de plus de 825 000 clients, notamment des numéros de permis et des identifiants de véhicule. Ces informations ont ensuite servi à déposer de fausses demandes d’allocations chômage pendant la pandémie de COVID-19. Les assureurs sanctionnés devront revoir leurs dispositifs de sécurité et offrir un an de surveillance de crédit aux victimes. Cette affaire illustre les risques croissants liés aux systèmes de remplissage automatique de données utilisés dans le secteur de l’assurance.
Des outils de devis exploités à grande échelle
Les pirates ont visé les plateformes de devis des assureurs, capables de compléter automatiquement des champs à partir d’informations minimales comme le nom ou l’adresse. Ce mécanisme de « remplissage » a permis de récupérer des numéros de permis de conduire, dates de naissance et numéros de véhicule. Les données volées ont ensuite alimenté des fraudes massives à l’assurance chômage, selon les enquêteurs new-yorkais.
Les entreprises concernées sont American Family Mutual Insurance, Farmers Insurance, Hagerty Insurance Agency, The Hartford Insurance Group, Infinity Insurance, Liberty Mutual, Metromile et State Auto Mutual Insurance. Letitia James a dénoncé des failles de cybersécurité évitables ayant « permis à des pirates de voler aisément les données personnelles des New-Yorkais ».
Des contrôles de sécurité inexistants ou inefficaces
L’enquête du Bureau du procureur général a révélé que plusieurs compagnies n’avaient pas mis en œuvre de dispositifs de détection des attaques, ni d’alertes automatiques en cas d’activité anormale. Certaines ne disposaient même pas d’une authentification multifactorielle pour les agents utilisant des interfaces internes protégées par mot de passe.
Les autorités ont précisé que ces outils puisaient leurs données auprès de courtiers spécialisés dans la revente d’informations personnelles. Ce système visait à simplifier la saisie pour les clients et les courtiers, mais a fini par devenir une faille systémique. Plusieurs compagnies ont subi des intrusions répétées sans en avoir conscience faute de mécanismes de surveillance adaptés.
Des sanctions financières et des obligations structurelles
American Family Mutual Insurance écope de la sanction la plus lourde, soit 2,8 millions $ (2,58 millions d’euros). Liberty Mutual, State Auto, Metromile et Infinity Insurance devront verser 2 millions $ (1,84 million d’euros) chacune. Farmers Insurance et Hagerty Insurance Agency paient 1,3 million $ (1,19 million d’euros). Les entreprises sont désormais tenues de renforcer leurs programmes de cybersécurité, d’établir un inventaire complet des données sensibles, d’instaurer des procédures d’authentification solides et un système de journalisation et de détection d’activités suspectes. Cette affaire fait suite à une précédente amende de 11 millions $ (10,1 millions d’euros) infligée à Geico et Travelers en novembre 2023 pour des manquements similaires.
[Sources]
