Capital One frappé d’une amende de 80 millions de dollars par les régulateurs américains sur 2019 violation de données

Capital One doit prendre des mesures pour remédier aux lacunes de son plan d’exploitation des risques cloud après avoir été frappée d’une amende de 80 millions de dollars pour une atteinte aux données en 2019 qui a touché 106 millions de clients aux États-Unis et au Canada.

Une ordonnance de consentement émise par le Bureau du contrôleur de la monnaie (OCC) du département du Trésor américain a déclaré que la société s’était livrée à des « pratiques dangereuses et malsaines, y compris celles relatives à la sécurité de l’information » et qu’elle n’avait pas « établi de processus efficaces d’évaluation des risques » avant de migrer ses systèmes informatiques vers le cloud.

Cela aurait ouvert la voie à un tiers non autorisé pour accéder aux numéros de sécurité sociale de 140 000 clients de la société de carte de crédit, plus les coordonnées bancaires de 80.000 personnes.

L’ordonnance de consentement a déclaré : « Vers 2015, la banque n’a pas établi d’évaluation efficace des risques traitées avant la migration de ses opérations de technologie de l’information vers l’environnement d’exploitation du cloud, y compris la conception et la mise en œuvre appropriées de certains contrôles de sécurité du réseau, des contrôles adéquats de prévention des pertes de données et la mise en service efficace des alertes.

« L’audit interne de la banque n’a pas permis d’identifier de nombreuses faiblesses et lacunes en matière de contrôle dans l’environnement opérationnel dans le cloud. »

De plus, les « faiblesses » qui ont été relevées au cours de la vérification interne n’ont pas été signalées efficacement ou mises en évidence à la haute direction, soit le conseil n’a pas pris de « mesures efficaces » à leur égard, ajoute l’ordonnance.

« [The company] pratiques dangereuses et malsaines qui faisaient partie d’un modèle d’inconduite », a-t-il déclaré.

Toutefois, le document reconnaît que « la banque a commencé à prendre les mesures correctives identifiées et s’est engagée à fournir des ressources pour remédier aux lacunes ».

Comme indiqué précédemment par Computer Weekly, l’auteur présumé du piratage était l’ancien ingénieur logiciel Amazon Web Services Paige Thompson, qui a été arrêté en lien avec la violation en Juillet 2019.

Dans une déclaration à l’époque, Capital One a déclaré qu’il avait reçu l’assurance du FBI qu’aucune des données consultées n’avait été utilisée pour commettre une fraude ou partagée par les responsables de la violation.

Thompson doit subir son procès en février 2021, après avoir déjà plaidé non coupable à toutes les accusations.

Dans une déclaration distincte, le CCO a déclaré que sa décision d’émettre les 80 millions de dollars était une réponse directe à la séquence des événements qui se sont déroulés, ainsi qu’à l’incapacité de Capital One à régler ces questions en temps opportun.

« En prenant cette mesure, l’OCC a examiné de façon positive les efforts de notification et d’assainissement des clients de la banque », a déclaré l’OCC dans son communiqué.

« Bien que l’OCC encourage l’innovation responsable dans toutes les banques qu’il supervise, une saine gestion des risques et des contrôles internes sont essentiels pour s’assurer que les opérations bancaires restent sûres et saines et protègent adéquatement leurs clients », a-t-il ajouté. « Le CCO a conclu que les lacunes constatées constituaient des pratiques dangereuses ou malsaines. »

Computer Weekly a contacté Capital One pour obtenir des commentaires sur cette histoire, et un porte-parole de l’entreprise a dit que depuis la violation de la société a investi des « ressources supplémentaires importantes » dans le resserrement de ses cyberdéfenses, et a fait des « progrès substantiels » dans la réponse aux préoccupations exprimées par les régulateurs ci-dessus.

« La protection de l’information de nos clients est essentielle à notre rôle d’institution financière. Les contrôles que nous avons mis en place avant l’incident de l’année dernière nous ont permis de sécuriser nos données avant que les informations des clients puissent être utilisées ou diffusées et ont aidé les autorités à arrêter rapidement le pirate informatique., » le porte-parole a ajouté.

« Nous apprécions la reconnaissance par nos organismes de réglementation de nos efforts positifs de notification et d’assainissement des clients, et nous restons déterminés à travailler en étroite collaboration avec eux pour nous assurer que nous respectons les normes de protection les plus élevées pour nos clients. »