Le procureur général James conclut un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants

NEW YORK - La procureure générale de New York, Letitia James, a annoncé aujourd'hui un accord avec le Marymount Manhattan College (MMC), un établissement d'enseignement supérieur privé à but non lucratif de la ville de New York, pour investir 3,5 millions de dollars dans la sécurité des données afin de protéger les données en ligne des étudiants. En 2021, MMC a été victime d'une violation de données qui a affecté près de 100 000 New-Yorkais qui étaient des étudiants, des enseignants et des anciens étudiants actuels ou potentiels de MMC. Une enquête menée par le bureau du procureur général (OAG) a révélé que la MMC n'avait pas correctement sécurisé son infrastructure réseau et n'avait pas mis à jour ses politiques pour répondre aux nouvelles préoccupations en matière de sécurité, ce qui l'a rendue vulnérable à une violation de données. L'accord conclu aujourd'hui oblige la MMC à investir 3,5 millions de dollars pour améliorer le cryptage des données et les protocoles de sécurité afin d'atténuer le risque de violations futures.

"Lorsque des établissements comme le Marymount Manhattan College ne protègent pas correctement les données en ligne, des milliers de New-Yorkais sont mis en danger", a déclaré le procureur général James. "À l'ère du numérique, les entreprises et les universités doivent mieux protéger les informations personnelles qui leur sont confiées. Cet accord permettra de protéger les données en ligne des futures promotions d'étudiants, de professeurs et d'anciens élèves de la MMC.

En novembre 2021, un pirate informatique s'est introduit dans l'infrastructure technique de la MMC et a accédé à des données appartenant à 99 097 New-Yorkais, notamment des numéros de sécurité sociale, des numéros de cartes bancaires et de crédit, des numéros de passeport, des numéros de permis de conduire et des informations médicales. Certaines de ces données dataient de plus de dix ans et provenaient de candidats qui n'avaient jamais fréquenté la MMC. Le pirate a ensuite crypté les informations et demandé une rançon en échange de leur restitution. La MMC a payé la rançon et les données volées ont été supprimées.

À la suite de la cyberattaque, le BVG a ouvert une enquête sur la violation et sur les pratiques de MMC en matière de protection de la vie privée et de sécurité des données. L'enquête a conclu que la MMC n'avait pas suffisamment protégé les informations personnelles, notamment en n'utilisant pas l'authentification multifactorielle pour les comptes, en ne cryptant pas les données sensibles et en ne mettant pas à jour ses politiques de sécurité et ses microprogrammes en réponse aux nouvelles menaces de sécurité.

Dans le cadre de l'accord conclu aujourd'hui, MMC doit investir 3,5 millions de dollars au cours des six prochaines années afin de mieux protéger les informations personnelles des consommateurs, y compris par.. : 

• Maintenir un programme complet de sécurité de l'information comprenant des mises à jour régulières pour suivre l'évolution de la technologie et des menaces à la sécurité ;
• Cryptage de toutes les informations personnelles, qu'elles soient stockées ou transmises, entre des documents, des bases de données ou ailleurs ;
• Maintenir des politiques raisonnables pour effectuer les mises à jour de sécurité et la gestion des correctifs ;
• Activation de l'authentification multifactorielle pour les utilisateurs se connectant aux réseaux de la MMC ;
• l'analyse des vulnérabilités et des faiblesses potentielles ; et
• Partager publiquement le plan de l'université sur l'objectif des informations personnelles collectées, conservées et le calendrier de suppression.

L'accord conclu aujourd'hui s'inscrit dans le prolongement des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises qui les accompagnent pour responsables de leurs mauvaises pratiques en matière de sécurité des données. En mai dernier, le procureur général James a obtenu 300 000 dollars de Sports Warehouse pour ne pas avoir protégé les données de 2,5 millions de clients. En mai également, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En décembre 2022, l'Attorney General James a obtenu 200 000 dollars de la part du producteur de casquettes et de blouses d'étudiants Herff Jones pour n'avoir pas protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,2 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs. En juin 2022, le procureur général James a obtenu 400 000 dollars de Wegmans et a exigé du détaillant qu'il améliore la sécurité du stockage des données après qu'une violation de données a exposé les informations personnelles des consommateurs. En mars 2022, le procureur général James a publié une alerte aux consommateurs conseillant aux clients de T-Mobile de prendre les mesures appropriées pour protéger leurs informations personnelles à la suite d'une violation de données.

Cette affaire a été traitée par le procureur général adjoint Nathaniel Kosslyn et le chef de bureau adjoint Clark Russell, avec l'assistance spéciale de l'analyste Internet et technologie Nishaant Goswamy, du Bureau de l'Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.