Le procureur général James publie un guide sur la sécurité des données pour aider les entreprises à mieux protéger les informations personnelles des consommateurs

NEW YORK - Letitia James, procureur général de New York, a publié aujourd'hui un guide destiné à aider les entreprises à adopter des mesures efficaces de sécurité des données afin de mieux protéger les informations personnelles des New-Yorkais. Ce guide s'appuie sur l'expérience du bureau du procureur général (OAG) en matière d'enquêtes et de poursuites judiciaires à l'encontre d'entreprises à la suite de violations de la cybersécurité. Le guide propose une série de recommandations destinées à aider les entreprises à prévenir les violations et à sécuriser leurs données.

"Lorsque les entreprises se voient confier des informations sensibles sur leurs clients, elles ont la responsabilité légale et morale de les protéger contre les violations de données", a déclaré James, procureur général de l'Union européenne. "Dans le monde numérique d'aujourd'hui, les entreprises ne peuvent pas se permettre de prendre des risques avec les informations personnelles des consommateurs. Les entreprises peuvent et doivent faire plus pour protéger les New-Yorkais contre le vol d'identité et la fraude. Le guide de sécurité créé par mon bureau contient des recommandations pour aider les entreprises new-yorkaises à garder une longueur d'avance sur les cybercriminels et à mieux protéger les informations personnelles et financières des consommateurs".

Les cybercriminels ciblent les informations personnelles des consommateurs pour gagner de l'argent, soit en usurpant leur identité, soit en contraignant l'entreprise à payer une rançon. L'une des informations les plus sensibles est le numéro de sécurité sociale d'un consommateur. Avec un numéro de sécurité sociale, un pirate peut ouvrir des comptes financiers au nom de la victime et percevoir des prestations fédérales et nationales. L'année dernière, 1 876 violations de données ont été signalées à l'OAG, impliquant l'exposition de numéros de sécurité sociale, affectant plus de 3,2 millions de New-Yorkais.

Le guide aborde certaines défaillances en matière de sécurité des données constatées lors d'enquêtes récentes sur la sécurité des données et recommande des pratiques que les entreprises devraient adopter pour mieux sécuriser leurs systèmes, fortifier leurs réseaux et renforcer leurs mesures de sécurité des données. Voici quelques conseils importants tirés du guide du BVG :

• Maintenir des contrôles pour une authentification sécurisée. Pour les entreprises qui stockent des informations sur les clients, des procédures d'authentification forte peuvent contribuer à garantir que seules les personnes autorisées peuvent accéder aux données. Les procédures d'authentification forte peuvent inclure l'authentification multifactorielle et les politiques de mots de passe qui exigent que les mots de passe soient uniques et complexes.
• Crypter les informations sensibles des clients. Le cryptage des informations sensibles, telles que les numéros de sécurité sociale, peut contribuer à les protéger contre les pirates informatiques capables de surmonter d'autres défenses.
• Veillez à ce que vos fournisseurs de services utilisent des mesures de sécurité raisonnables. Les entreprises qui autorisent des fournisseurs tiers à accéder aux informations de leurs clients doivent s'assurer que ces fournisseurs utilisent des mesures de sécurité appropriées pour protéger ces informations. Dans la plupart des cas, il s'agit de sélectionner avec diligence des fournisseurs disposant de programmes de sécurité des données appropriés, d'intégrer les attentes en matière de sécurité dans les contrats et de contrôler le travail des fournisseurs pour s'assurer de leur conformité.
• Sachez où vous conservez les informations relatives aux consommateurs. Une entreprise ne peut pas protéger correctement les informations relatives aux clients si elle ne sait pas où ces informations sont conservées. Les entreprises doivent tenir un inventaire de leurs actifs afin de savoir où sont stockées les informations relatives aux clients.
• Se prémunir contre les attaques automatisées. Le "Credential stuffing" reste l'une des formes les plus courantes d'attaques contre les comptes des clients. Ce type d'attaque consiste généralement en des tentatives répétées de connexion à des comptes en ligne à l'aide de noms d'utilisateur et de mots de passe volés à d'autres services en ligne. C'est pourquoi les entreprises qui gèrent des comptes en ligne pour leurs clients doivent mettre en place un programme de sécurité des données comprenant des mesures de protection efficaces pour protéger les clients contre les attaques de type "credential stuffing". En janvier 2022, le BVG a publié un guide à l'intention des entreprises sur les attaques par bourrage de mots de passe, qui détaille quatre domaines dans lesquels des mesures de protection doivent être mises en place, ainsi que des mesures de protection spécifiques qui se sont avérées efficaces.
• Informer rapidement et précisément les consommateurs d'une violation de données. Si une entreprise est victime d'une violation de données, il est essentiel que les clients soient informés en temps voulu et de manière précise afin qu'ils puissent prendre des mesures pour se protéger. Lorsque les entreprises émettent des déclarations trompeuses minimisant l'étendue ou la gravité d'une attaque, elles peuvent donner aux clients un faux sentiment de sécurité et enfreindre la loi new-yorkaise.

"Alors que la technologie continue d'évoluer, la protection des informations personnelles sensibles devient plus importante que jamais", a déclaré l'exécutif du comté de Westchester, George Latimer. "J'apprécie les efforts du procureur général Letitia James pour fournir ce guide afin d'aider les entreprises à mieux protéger les données des New-Yorkais. En adoptant ces recommandations, les entreprises peuvent renforcer leurs mesures de sécurité et contribuer à prévenir les cyberattaques".

"Les menaces liées à la cybersécurité sont de plus en plus nombreuses et les New-Yorkais doivent être certains que les entreprises avec lesquelles ils interagissent assurent la sécurité de leurs données", a déclaré la sénatrice de l'État , Kristen Gonzalez. "Ce guide donne aux entreprises les outils et les conseils dont elles ont besoin pour protéger les informations des New-Yorkais. Je suis reconnaissante au procureur général d'avoir pris l'initiative sur cette question, et je me réjouis de travailler ensemble pour faire progresser la cybersécurité dans l'État de New York".

"L'année dernière, plus de 3,2 millions de New-Yorkais ont été touchés par des violations de données impliquant l'exposition de leur numéro de sécurité sociale", a déclaré le sénateur Brad Hoylman-Sigal. "Dans notre société dépendante de la technologie, les New-Yorkais font confiance aux entreprises et comptent sur elles pour protéger leurs informations personnelles. Je suis reconnaissant au procureur général James d'avoir créé ce guide de sécurité des données solide et accessible qui aidera nos entreprises à mieux protéger les consommateurs contre l'usurpation d'identité et la fraude".

"En tant que président du comité de protection des consommateurs, je prends très au sérieux la confidentialité des données et la sécurité sur Internet", a déclaré le sénateur Kevin Thomas ( ). "Je remercie le procureur général James et son équipe d'avoir créé ce guide utile pour partager facilement les moyens par lesquels nos entreprises new-yorkaises peuvent mettre en place de meilleures protections des données. Je recommande vivement aux entreprises de toutes tailles d'utiliser cette excellente ressource sur les moyens de protéger les informations personnelles contre les violations qui pourraient avoir des conséquences négatives sur leurs employés et leurs clients." 

"Trop de New-Yorkais sont victimes chaque année de vols d'identité et de données", a déclaré la sénatrice de l'État Samra Brouk. "Alors que la technologie continue de progresser dans différents secteurs, New York doit prendre des mesures pour s'assurer que les entreprises disposent des ressources nécessaires pour mieux protéger les données de leurs clients. Je suis reconnaissante à l'Attorney General pour son leadership sur cette question, et je me réjouis de continuer à travailler ensemble pour protéger les New-Yorkais".

"À mesure que la technologie progresse, nos lignes directrices en matière de protection des cyberconsommateurs doivent suivre le rythme", a déclaré Nily Rozic, membre de l'Assemblée . "Ce guide aidera les consommateurs à mieux se protéger et à protéger leurs données en ligne et hors ligne. Je suis reconnaissante au procureur général James, qui donne la priorité à la protection des consommateurs dans un monde en constante évolution".

"Les clients attendent des entreprises qu'elles assurent la sécurité de leurs données personnelles", a déclaré Monica Wallace, membre de l'Assemblée . "Trop souvent, cependant, ces informations sont compromises par des cybercriminels sophistiqués. Je félicite l'Attorney General James pour ses efforts proactifs visant à éduquer les propriétaires d'entreprises sur les meilleures pratiques en matière de cybersécurité, afin que nous puissions mieux protéger les consommateurs contre l'usurpation d'identité, la fraude et les délits connexes."

"Les violations de données peuvent avoir de graves conséquences tant pour les entreprises que pour les consommateurs dont les informations personnelles sont compromises", a déclaré Jennifer Gutiérrez, membre du conseil municipal de New York. "Les consommateurs qui souffrent le plus des atteintes à la cybersécurité sont souvent ceux qui en ont le moins les moyens. Je félicite le procureur général James d'avoir publié ces lignes directrices d'une importance capitale pour les entreprises, qui aideront même les plus petites d'entre elles à protéger leurs données et celles de leurs clients contre les cybercriminels."

"La communauté des affaires se félicite du soutien apporté par l'Attorney General Letitia James à nos efforts pour protéger les clients et les employés contre le vol d'identité", a déclaré Kathryn Wylde, présidente et directrice générale du Partnership for New York City. "Nous sommes impatients de collaborer avec son bureau pour lutter contre les cyberactivités illégales qui font de plus en plus de victimes parmi les particuliers et les entreprises.

"Il est bon de voir que le procureur général de New York fournit des outils et des ressources pratiques pour aider les petites entreprises à faire face à l'augmentation des attaques de cybersécurité", a déclaré Yael Grauer, directeur de programme, Consumer Reports' Security Planner. "Ce guide contient des informations précieuses sur l'importance du cryptage, de l'authentification multifactorielle, de la purge des données et des comptes obsolètes, ainsi que d'autres mesures pour aider les entreprises à se conformer à la loi et à faire face aux menaces de sécurité.

"Les New-Yorkais utilisent des outils numériques dans tous les aspects de leur vie et de leur travail, et il est plus important que jamais qu'ils soient sûrs de pouvoir les utiliser en toute sécurité", a déclaré Julie Samuels, présidente et directrice exécutive de Tech:NYC. "Nous félicitons le procureur général d'avoir réfléchi à cette question et d'avoir publié un guide qui protège les données personnelles et financières des New-Yorkais d'une manière qui bénéficie à la fois à la sécurité des clients et aux activités des entreprises.

Le procureur général James a pris plusieurs mesures pour tenir les entreprises responsables de leur mauvaise cybersécurité. En décembre 2022, l'Attorney General James a obtenu 200 000 dollars d'un producteur de casquettes et de robes d'étudiants, Herff Jones, pour n'avoir pas protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,2 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs dans tout le pays. En juin 2022, le procureur général James a obtenu 400 000 dollars de Wegmans et a exigé que le détaillant améliore la sécurité du stockage des données après qu'une violation de données a exposé les informations personnelles des consommateurs. En mars 2022, l'Attorney General James a publié une alerte aux consommateurs conseillant aux clients de T-Mobile de prendre les mesures appropriées pour protéger leurs informations personnelles à la suite d'une violation de données. 

Ce guide a été publié par le Bureau de l'Internet et de la Technologie et les enquêtes citées ont été menées par ce dernier.