T-Mobile paiera une amende de 31,5 millions de dollars pour mettre fin aux enquêtes sur plusieurs violations de données. La moitié du montant devra être consacrée à l’amélioration de la cybersécurité.
T-Mobile va payer une amende pour de précédentes violations de données
La Federal Communications Commission (FCC) des États-Unis a condamné T-Mobile US à payer une amende de 31,5 millions de dollars. L’amende ferait partie d’un règlement entre les deux parties concernant une série de violations survenues entre 2021 et 2023.
T-Mobile a subi plusieurs violations de données au cours des années susmentionnées. Plusieurs raisons, notamment l’accès à distance à une application de vente de première ligne, ont permis aux pirates informatiques de compromettre la sécurité de l’entreprise.
Les données des clients de T-Mobile, notamment les noms, adresses, dates de naissance, numéros de sécurité sociale, numéros de permis de conduire, identifiants d'appareil et codes PIN de compte, ont été exposées. La dernière violation de données a eu lieu en 2023. Ce qui est préoccupant, c'est la faute de T-Mobile, car la société avait mal configuré les paramètres d'autorisation. Cela a permis aux pirates d'obtenir des données de compte client.
En guise de sanction collective pour ces violations, T-Mobile paiera une amende de 31,5 millions de dollars à la FCC. Il est intéressant de noter que la moitié de la pénalité reviendra à T-Mobile pour avoir renforcé la cybersécurité de ses opérations.
Comment T-Mobile va-t-il améliorer la cybersécurité ?
La FCC qualifie ce règlement de « révolutionnaire ». L'agence espère que ses actions enverront le message aux autres transporteurs qu'il y aura des conséquences s'ils ne renforcent pas leurs systèmes.
Sur ces 31,5 millions de dollars, 15,75 millions seront versés au Trésor américain. L’entreprise devra consacrer l’autre moitié du montant à l’amélioration de son programme de cybersécurité.
T-Mobile dispose de deux ans pour mettre en œuvre un plan de conformité conçu pour protéger les consommateurs contre des violations similaires à l'avenir. Dans le cadre de ce processus, T-Mobile désignera un responsable de la sécurité de l'information, qui rendra compte au conseil d'administration des questions de cybersécurité.
T-Mobile mènera également des évaluations indépendantes par des tiers de ses pratiques en matière de sécurité des informations. Cela pourrait impliquer l'embauche d'experts en cybersécurité qui tenteraient de pénétrer dans les réseaux sécurisés de l'entreprise et d'alerter les entreprises de tout point faible ou vulnérabilité potentiel.
L’entreprise de télécommunications adopterait et mettrait en œuvre un « cadre de sécurité zéro confiance ». De plus, les employés et les clients devront peut-être adopter l'authentification multifacteur (MFA), qui peut impliquer des OTP, des clés sécurisées et d'autres technologies d'authentification secondaire.
