Communiqué de presse de la Commission fédérale du commerce
Equifax paiera 575 millions de dollars dans le cadre d'un règlement avec la FTC, la CFPB et les États liés à la violation des données de 2017
Equifax Inc. a accepté de payer au moins 575 millions de dollars, et potentiellement jusqu'à 700 millions de dollars, dans le cadre d'un règlement global avec la Federal Trade Commission, le Consumer Financial Protection Bureau (CFPB) et 50 États et territoires américains, qui allèguent que l'omission de la société d'évaluation du crédit de prendre des mesures raisonnables pour sécuriser son réseau ont mené à une violation de données en 2017 qui a touché environ 147 millions de personnes.
Dans sa plainte, la FTC allègue qu'Equifax n'a pas réussi à sécuriser la quantité massive de renseignements personnels stockés sur son réseau, ce qui a entraîné une violation qui a révélé des millions de noms et de dates de naissance, de numéros de sécurité sociale, d'adresses physiques et d'autres renseignements personnels susceptibles d'entraîner un vol d'identité et de fraude.
Dans le cadre du règlement proposé, Equifax versera 300 millions de dollars à un fonds qui fournira aux consommateurs touchés des services de surveillance du crédit. Le fonds indemnisera également les consommateurs qui ont acheté des services de surveillance de crédit ou d'identité auprès d'Equifax et qui ont payé d'autres dépenses à la suite de la violation des données de 2017. Equifax ajoutera jusqu'à 125 millions de dollars au fonds si le paiement initial n'est pas suffisant pour compenser les pertes des consommateurs. De plus, à compter de janvier 2020, Equifax fournira à tous les consommateurs américains six rapports de crédit gratuits chaque année pendant sept ans, en plus du rapport annuel gratuit qu'Equifax et les deux autres agences nationales d'évaluation du crédit fournissent actuellement.
La société a également accepté de verser 175 millions de dollars à 48 États, le District de Columbia et Porto Rico, ainsi que 100 millions de dollars à la CFPB en pénalités civiles.
« Les entreprises qui profitent des renseignements personnels ont une responsabilité supplémentaire de protéger et de sécuriser ces données », a déclaré Joe Simons, président de la FTC. « Equifax n'a pas pris les mesures de base qui auraient pu empêcher la violation qui a touché environ 147 millions de consommateurs. Ce règlement exige que l'entreprise prenne des mesures pour améliorer sa sécurité des données à l'avenir, et veillera à ce que les consommateurs lésés par cette violation puissent recevoir de l'aide pour se protéger contre le vol d'identité et la fraude. »
« L'annonce d'aujourd'hui n'est pas la fin de nos efforts pour nous assurer que les renseignements personnels sensibles des consommateurs sont sécuritaires et sécuritaires. L'incident d'Equifax souligne l'évolution des menaces en matière de cybersécurité auxquelles font face les systèmes informatiques privés et gouvernementaux et les mesures qu'ils doivent prendre pour protéger les renseignements personnels des consommateurs. Trop de choses sont en jeu pour que la sécurité financière du peuple américain fasse de ces protections une priorité absolue. Pour les consommateurs touchés par la violation d'Equifax, le règlement d'aujourd'hui fournira jusqu'à 425 millions de dollars pour le temps et l'argent qu'ils ont dépensés pour se protéger contre les menaces potentielles de vol d'identité ou pour traiter les incidents de vol d'identité à la suite de la violation. Nous encourageons les consommateurs touchés par la violation à présenter leurs réclamations afin de bénéficier d'une surveillance de crédit gratuite ou d'un remboursement en espèces », a déclaré Kathleen L. Kraninger, directrice du Bureau de la protection financière des consommateurs.
Échecs de sécurité de l'entreprise
La FTC allègue qu'Equifax n'a pas réussi à corriger son réseau après avoir été alerté en mars 2017 d'une vulnérabilité critique en matière de sécurité affectant sa base de données SIAM, qui traite les demandes de renseignements des consommateurs au sujet de leurs données personnelles de crédit. Même si l'équipe de sécurité d'Equifax a ordonné que chacun des systèmes vulnérables de l'entreprise soit corrigé dans les 48 heures suivant la réception de l'alerte, Equifax n'a pas fait de suivi pour s'assurer que la commande était exécutée par les employés responsables.
En fait, Equifax n'a découvert que sa base de données SIAM n'avait pas été corrigée avant juillet 2017, année où son équipe de sécurité a détecté du trafic suspect sur son réseau. Une enquête de la société a révélé que plusieurs pirates informatiques ont pu exploiter la vulnérabilité du SIAM pour accéder au réseau d'Equifax, où ils ont accédé à un fichier non sécurisé contenant des informations d'identification administratives stockées en texte brut. Ces informations d'identification ont permis aux pirates d'accéder à de grandes quantités d'informations personnelles identifiables des consommateurs et de fonctionner sans être détectés sur le réseau d'Equifax pendant des mois.
Les pirates ciblaient les numéros de sécurité sociale, les dates de naissance et d'autres informations sensibles, principalement de consommateurs qui avaient acheté des produits auprès d'Equifax, tels que les cotes de crédit, la surveillance du crédit ou les services de prévention du vol d'identité. Par exemple, les pirates informatiques ont volé au moins 147 millions de noms et de dates de naissance, 145,5 millions de numéros de sécurité sociale et 209 000 numéros de cartes de paiement et dates d'expiration.
Les pirates informatiques ont pu accéder à une quantité stupéfiante de données car Equifax n'a pas mis en œuvre les mesures de sécurité de base, selon la plainte. Il s'agit notamment de ne pas mettre en œuvre une stratégie pour s'assurer que les vulnérabilités de sécurité ont été corrigées ; de ne pas segmenter ses serveurs de base de données pour bloquer l'accès à d'autres parties du réseau une fois qu'une base de données a été violée ; et de ne pas installer de protections robustes contre la détection des intrusions pour ses bases de données héritées. En outre, la FTC allègue également qu'Equifax a stocké des informations d'identification et des mots de passe du réseau, ainsi que des numéros de sécurité sociale et d'autres informations sensibles pour les consommateurs, en texte brut.
Bien qu'elle n'ait pas mis en œuvre les mesures de sécurité de base, la politique de confidentialité d'Equifax à l'époque indiquait qu'elle limitait l'accès aux renseignements personnels des consommateurs et qu'elle mettait en place des « mesures de protection physiques, techniques et procédurales raisonnables » pour protéger les données des consommateurs.
La FTC allègue qu'Equifax a violé l'interdiction des pratiques déloyales et trompeuses de la Loi sur la FTC et la règle de sauvegarde de la Loi Gramm-Leach-Bliley, qui oblige les institutions financières à élaborer, mettre en œuvre et maintenir un programme complet de sécurité de l'information pour protéger la sécurité, la confidentialité, et l'intégrité des informations client.
Exigences de règlement
En plus de l'allégement financier accordé aux consommateurs, Equifax doit également mettre en œuvre un programme complet de sécurité de l'information qui oblige l'entreprise à prendre plusieurs mesures, notamment :
désigner un employé pour superviser le programme de sécurité de l'information ;
Effectuer des évaluations annuelles des risques de sécurité internes et externes et mettre en œuvre des mesures de protection pour faire face aux risques potentiels, comme les politiques de gestion des correctifs et de correction de la sécurité, les mécanismes d'intrusion sur le réseau et d'autres mesures de protection ;
Obtenir des certifications annuelles du conseil d'administration d'Equifax ou du sous-comité compétent attestant que la société s'est conformée à l'ordre, y compris ses exigences en matière de sécurité de l'information ;
mettre à l'essai et surveiller l'efficacité des mesures de sécurité ;
Veiller à ce que les fournisseurs de services qui accèdent aux informations personnelles stockées par Equifax mettent également en place des mesures de protection adéquates pour protéger ces données.
Le règlement proposé exige également que la compagnie obtienne des évaluations de son programme de sécurité de l'information par des tiers tous les deux ans. En vertu de l'ordonnance, l'évaluateur doit préciser les éléments de preuve à l'appui de ses conclusions et effectuer un échantillonnage indépendant, des entrevues avec les employés et des examens de documents. L'ordonnance confère à la Commission le pouvoir d'approuver l'évaluateur pour chaque période d'évaluation de deux ans. L'ordonnance exige également que Equifax fournisse une mise à jour annuelle à la FTC sur l'état d'avancement du processus de réclamation des consommateurs.
Lire le communiqué complet de la Federal Trade Commission à Equifax pour payer 575 millions de dollars dans le cadre du règlement avec la FTC, la CFPB et les États liés à la violation de données 2017
Lecture supplémentaire
Nouvelle politique du ministère de la Justice pour encourager la conformité des entreprises
Automatisation de la découverte électronique : un cadre stratégique
Source : CompleDiscovery