Le 1er février 2024, la Federal Trade Commission a annoncé une proposition de règlement avec Blackbaud Inc. (« Blackbaud ») concernant des failles de sécurité présumées ayant entraîné une violation du réseau de l’entreprise et l’accès aux données personnelles de millions de consommateurs. Dans le cadre du règlement, Blackbaud sera tenu de se conformer à diverses obligations, notamment la suppression des données personnelles que l’entreprise n’a pas besoin de conserver.
En 2020, Blackbaud, qui fournit des services de données et des services logiciels financiers, de collecte de fonds et d’administration aux entreprises, aux organisations à but non lucratif et aux organismes de soins de santé, a été victime de pirates informatiques qui ont accédé à plusieurs environnements hébergés par Blackbaud et obtenu des données personnelles sensibles, notamment des numéros de sécurité sociale et des comptes bancaires. information. Selon la plainte de la FTC, lorsque Blackbaud a découvert la faille trois mois plus tard, la société a accepté de payer aux pirates une rançon de 24 Bitcoins (environ 250 000 dollars) pour supprimer les données en leur possession, mais n’a pas vérifié que les pirates avaient effectivement supprimé les données. .
Entre autres allégations, la FTC a affirmé que Blackbaud n’avait pas donné suite à sa déclaration aux clients selon laquelle l’entreprise prenait « les garanties physiques, électroniques et procédurales appropriées pour protéger. . . renseignements personnels » en omettant de :
- surveiller les tentatives des pirates informatiques de pénétrer dans ses réseaux ;
- segmenter les données pour empêcher les pirates d’accéder facilement aux réseaux et aux bases de données de l’entreprise ;
- veiller à ce que les données qui ne sont plus nécessaires soient supprimées ;
- mettre en œuvre de manière adéquate l’authentification multifactorielle ;
- tester, examiner et évaluer les contrôles de sécurité de l’entreprise ;
- chiffrer les données sensibles ;
- mettre en œuvre des pare-feu adéquats ;
- éliminer en temps utile les données lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été conservées ; et
- interdire aux employés d’utiliser des mots de passe par défaut, faibles ou identiques pour leurs comptes.
La FTC a également affirmé que Blackbaud avait porté préjudice aux consommateurs en attendant d’informer ses clients de l’incident et en les induisant en erreur sur l’étendue des données volées. L’ordonnance par consentement proposée par la FTC exige que Blackbaud :
- supprimer les données dont il n’a plus besoin pour fournir des produits ou des services à ses clients ;
- s’abstenir de déformer ses politiques de sécurité et de conservation des données ;
- développer un programme complet de sécurité de l’information ;
- mettre en place un calendrier de conservation des données ; et
- informer la FTC si elle subit une future violation de données qu’elle est tenue de signaler à toute autre agence locale, étatique ou fédérale.
Après une période de commentaires publics de 30 jours, la FTC décidera si elle rend l’ordonnance par consentement proposée définitive.