Make this article seo compatible, Let there be subheadings for the article, be in french, create at least 700 words
État de New York Département des services financiers (DFS) a annoncé cette semaine que le prêteur hypothécaire et gestionnaire Financière OneMain paiera une amende de 4,25 millions de dollars en raison de défaillances dans ses contrôles de cybersécurité en « ne parvenant pas à gérer efficacement les risques des fournisseurs de services tiers, à gérer les privilèges d’accès et à maintenir une méthodologie formelle de développement de la sécurité des applications ».
Cela a rendu l’entreprise beaucoup plus vulnérable aux attaques de cybersécurité, a déclaré le département des finances de l’État dans un communiqué annonçant le règlement.
« Le premier règlement national sur la cybersécurité de DFS crée le cadre essentiel dans lequel les titulaires de licence doivent opérer pour protéger au mieux leurs propres systèmes d’information et les données des consommateurs », a déclaré la surintendante des services financiers de DFS, Adrienne Harris. « Ce règlement démontre l’engagement continu du Département à faire respecter la responsabilité des titulaires de licence, en particulier ceux qui ont accès aux informations financières personnelles des consommateurs tels que OneMain, en prenant toutes les mesures nécessaires pour protéger les données des New-Yorkais. »
OneMain, spécialisée dans les prêts non préférentiels, « n’a pas réussi à gérer efficacement les privilèges d’accès des utilisateurs aux systèmes d’information qui permettent d’accéder aux informations non publiques de ses clients », a déclaré DFS dans son annonce du règlement. Une enquête a révélé que l’entreprise ne « gérait pas efficacement les privilèges d’accès des utilisateurs aux systèmes d’information qui permettent d’accéder aux informations non publiques de ses clients », selon DFS.
Par exemple, les utilisateurs administratifs locaux ont été autorisés à partager des comptes, ce qui a rendu plus difficile la capacité d’identifier les acteurs potentiellement malveillants. L’enquête a également révélé que ces comptes utilisaient souvent le mot de passe par défaut fourni lors de l’intégration, ce qui augmentait le risque d’accès non autorisé, a déclaré DFS.
« L’enquête du Département a en outre révélé que la politique de sécurité des applications de OneMain manquait d’une méthodologie formalisée traitant de toutes les phases du cycle de vie du développement logiciel de l’entreprise », a déclaré DFS. « Au lieu de cela, OneMain a utilisé un cadre d’administration de projet non formalisé qu’il avait développé en interne qui n’a pas réussi à traiter certaines phases clés du cycle de vie du développement logiciel, ce qui a eu pour conséquence une vulnérabilité accrue aux événements de cybersécurité. »
L’ordonnance de consentement découlant du règlement détaille également les cas où le DFS a identifié des lacunes dans la sécurité des applications, la formation du personnel à la cybersécurité et du renseignement, ainsi que des événements de cybersécurité spécifiques qui ont eu lieu entre 2017 et 2020.
L’ordonnance de consentement précise également que OneMain a coopéré tout au long du processus et a reconnu ses efforts pour « remédier aux lacunes » identifiées par DFS dans son enquête.
« Le Département reconnaît et crédite également les efforts continus de OneMain pour remédier aux lacunes identifiées par le Département et pour améliorer continuellement son programme de cybersécurité », indique l’ordonnance de consentement.