L’éditeur éducatif Pearson condamné à une amende pour dissimulation de violation de données

La Securities and Exchange Commission (SEC) des États-Unis a infligé une amende de 1 million de dollars à un éditeur éducatif basé à Londres Pearson pour régler les frais qu’il a délibérément induit ses investisseurs en erreur sur une cyberattaque de 2018 qui a vu des millions de dossiers d’étudiants, y compris des informations personnellement identifiables (PII), compromis.

L’incident a vu le vol des données des étudiants et des identifiants de connexion de l’administrateur concernant 13 000 comptes clients de districts scolaires et d’universités, mais selon les enquêteurs de la SEC, Pearson a qualifié un incident de confidentialité des données de “risque hypothétique”. dans un rapport semestriel publié en juillet 2019, après que la violation eut eu lieu.

En divulguant la violation en juillet 2019, Pearson a également déclaré que la violation “peut inclure” des dates de naissance et des adresses e-mail alors qu’en fait, il savait déjà que les dossiers violés incluaient ces informations, et a déclaré qu’il avait mis en place des “protections strictes” alors qu’en fait, comme l’ont constaté les enquêteurs, il n’avait pas réussi à corriger un CVE critique dans ses systèmes pendant six mois après la divulgation. La SEC a également déclaré que la déclaration médiatique de Pearson ci-dessus omis d’indiquer que des millions d’enregistrements de données et de mots de passe hachés avaient été volés.

L’enquête de la SEC a également révélé que les contrôles et procédures de divulgation de Pearson avaient été mal conçus et ne pouvaient garantir que les personnes au sein de l’organisation chargées de prendre des décisions en matière de divulgation aient été informées de certaines informations sur les circonstances de la violation.

“Comme le constate l’ordonnance, Pearson a choisi de ne pas divulguer cette violation aux investisseurs jusqu’à ce qu’elle soit contactée par les médias, et même alors Pearson a minimisé la nature et la portée de l’incident et a surestimé les protections des données de l’entreprise”, a déclaré Kristina Littman, chef de l’Unité Cyber ​​de la Division de la mise en application de la SEC.

« Alors que les entreprises publiques sont confrontées à la menace croissante des cyberintrusions, elles doivent fournir des informations précises aux investisseurs sur les cyberincidents importants. »

L’ordonnance conclut que Pearson a enfreint plusieurs articles de l’article 17 du US Securities Act de 1933 et de l’article 13 de l’Exchange Act de 1934. La société a accepté de cesser et de s’abstenir de commettre des violations de ces dispositions sans admettre ou nier les conclusions de l’enquête. résultats.

Un porte-parole de la société a déclaré : « Pearson confirme qu’elle est parvenue à un règlement d’une action coercitive avec la Securities and Exchange Commission concernant les divulgations publiques de la société en juillet 2019 concernant une violation de données en 2018 en lien avec AIMSweb 1.0, un logiciel basé sur le Web. outil de saisie et de suivi des performances académiques des étudiants qui ont pris leur retraite en juillet 2019 conformément à un plan de retraite précédemment programmé.

« En vertu du règlement, Pearson n’a ni admis ni nié les conclusions énoncées dans l’ordonnance de la SEC, y compris les violations. Pearson fera l’objet d’une ordonnance de cesser et de s’abstenir obligeant Pearson à ne pas commettre de violations de certaines dispositions des lois fédérales sur les valeurs mobilières et paiera une amende civile de 1 million de dollars. Dans l’ordonnance, la SEC a reconnu la coopération de Pearson avec le personnel de la SEC.

Commentant l’amende, Cyberdéfense Orange Le chef de produit au Royaume-Uni, Dominic Trott, a déclaré que l’incident soulignait l’importance de la transparence dans la divulgation des incidents, d’autant plus que le secteur de l’éducation a été soumis à une pression si intense de la part d’acteurs malveillants, y compris des gangs de ransomware.

« Ce n’est que grâce à la collaboration et à la transparence que les cyber-chercheurs et les technologues peuvent commencer à renverser la vapeur contre les cybercriminels qui ont l’intention de faire des ravages dans le secteur », a déclaré Trott.

« Comme Pearson l’a appris, le fait de ne pas divulguer correctement une violation peut également être beaucoup plus préjudiciable à la réputation d’une organisation et peut entraîner des sanctions juridiques sévères, en particulier lorsque des données client sont impliquées.

« Les processus de divulgation des violations doivent faire partie de l’approche mixte d’une organisation en matière de cybersécurité, en superposant une combinaison de personnes, de processus et de technologies habilitantes pour réduire le risque, minimiser l’impact d’une violation le cas échéant, et démontrer la diligence et les meilleures pratiques aux deux clients. et les organes directeurs.