Le procureur général James poursuit National General et Allstate Insurance pour manquement à l'obligation de protéger les informations personnelles des New-Yorkais

NEW YORK - Letitia James, procureur général de l'État de New York, a intenté aujourd'hui une action en justice contre plusieurs compagnies d'assurance faisant affaire sous le nom de National General et Allstate Insurance Company (Allstate) pour n'avoir pas protégé les informations personnelles des New-Yorkais contre les cyber-attaques. En 2020 et 2021, National General a subi deux violations de données consécutives qui ont révélé les numéros de permis de conduire de plus de 165 000 New-Yorkais. L'Office of the Attorney General (OAG) allègue qu'à la suite de la première violation, National General n'a pas informé les consommateurs concernés et a négligé de déterminer si des informations sensibles avaient été exposées ailleurs dans son système, ce qui a permis à une deuxième violation, plus importante, de se produire quelques mois plus tard. Le procureur général James affirme que les deux violations résultent du fait que National General n'a pas mis en œuvre des mesures raisonnables de sécurité des données, avant et après qu'Allstate ait pris le contrôle de ses opérations de sécurité des données. Le procureur général James demande des sanctions pour le manquement de National General à mettre en place des garanties raisonnables de sécurité des données et à informer les consommateurs, ainsi qu'une injonction pour mettre fin à toute violation continue. 

"La faiblesse de la cybersécurité de la National General a encouragé les pirates à voler les données personnelles des New-Yorkais, non pas une fois, mais deux fois, lors de deux cyberattaques distinctes", a déclaré le procureur général, M. James. "National General a mal traité les informations personnelles des New-Yorkais et a violé la loi en ne les informant pas du vol de leurs données. Il est essentiel que les entreprises prennent la cybersécurité au sérieux pour protéger les consommateurs contre la fraude et le vol d'identité, et mon bureau tiendra toujours pour responsables ceux qui ne le font pas".

En 2020, les attaquants ont commencé à cibler les sites web de National General, qui fournissent aux consommateurs des devis d'assurance automobile instantanés. Ces sites web étaient conçus pour afficher automatiquement les numéros de permis de conduire complets des consommateurs en texte clair avec une saisie minimale, une faille que des acteurs malveillants ont pu exploiter pour accéder aux informations privées des consommateurs. La première faille, qui a touché deux sites web publics, a exposé les numéros de permis de conduire de près de 12 000 personnes, dont plus de 9 100 New-Yorkais. En raison d'une surveillance inadéquate et de l'absence de protection des sites web contre les attaques automatisées, National General n'a pas détecté la violation pendant deux mois.

Après avoir découvert la faille, National General n'a pas alerté les consommateurs dont les données avaient été exposées ni notifié les agences d'État appropriées. L'entreprise a également continué à laisser les numéros de permis de conduire exposés sur un site web de devis distinct destiné aux agents d'assurance indépendants, qui n'était pas non plus très bien protégé. Les attaquants ont ensuite ciblé ce système lors d'une deuxième violation, beaucoup plus importante, que National General a détectée en février 2021. Cette attaque a compromis les informations personnelles de 187 000 consommateurs supplémentaires, y compris les numéros de permis de conduire d'environ 155 000 New-Yorkais. Les défaillances de la National General en matière de sécurité des données se sont poursuivies après l'acquisition de la National General par The Allstate Corporation et la prise de contrôle par Allstate de la fonction de sécurité des données de la National General.

Les numéros de permis de conduire sont précieux pour les cybercriminels et peuvent être utilisés pour commettre diverses formes de fraude, notamment l'usurpation d'identité et la fraude aux prestations publiques. En vertu de la loi new-yorkaise, les entreprises qui possèdent ou concèdent sous licence les données privées des New-Yorkais doivent prendre des mesures appropriées pour les sécuriser. Le procureur général James reproche à National General d'avoir violé les lois de l'État sur la protection des consommateurs et les lois commerciales en ne sécurisant pas les informations sensibles, en présentant de manière erronée ses pratiques en matière de sécurité des données aux clients et aux consommateurs, et en n'informant pas les consommateurs concernés de la violation initiale de leurs données.

Il s'agit du dernier effort en date du procureur général James pour tenir les compagnies d'assurance automobile pour responsables de l'absence de sécurisation des données des consommateurs. En décembre 2024, le procureur général James a obtenu 500 000 dollars de la compagnie d'assurance automobile Noblr pour ne pas avoir protégé les informations personnelles de plus de 80 000 New-Yorkais dans le cadre d'une violation de données. En novembre 2024, le procureur général James et la surintendante du département des services financiers (DFS) de l'État de New York, Adrienne A. Harris, ont obtenu 11,3 millions de dollars de GEICO et de Travelers Insurance pour leur mauvaise sécurité des données, qui a conduit à la compromission des informations personnelles de plus de 120 000 New-Yorkais.

L'affaire est traitée par les procureurs généraux adjoints Laura Mumm et Alexandra Hiatt, avec l'aide des procureurs généraux adjoints Gena Feist et Marc Montgomery, du Senior Enforcement Counsel Jordan Adler, de l'analyste de la sécurité des données Nishaant Goswamy et des anciens procureurs généraux adjoints Hanna Baek et Ezra Sternstein, sous la supervision du chef de bureau Kim Berger et du chef de bureau adjoint Clark Russell, du Bureau de l'internet et de la technologie. L'analyse des données a été réalisée par Casey Marescot, analyste de données, et Blythe Davis, scientifique de données, sous la supervision de Gautam Sisodia, directeur adjoint, Victoria Khan, ancienne directrice adjointe, Megan Thorsfeldt, et ancien directeur, Jonathan Werberg, du département de recherche et d'analyse. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est supervisée par le procureur général adjoint Chris D'Angelo et la première vice-procureure générale Jennifer Levy.