La Federal Communications Commission (FCC) a annoncé un règlement de 31,5 millions de dollars avec T-Mobile pour de multiples violations de données qui ont compromis les informations personnelles de millions de consommateurs américains.
Cet accord résout les enquêtes du FCC Enforcement Bureau sur plusieurs incidents de cybersécurité et les violations de données qui en ont résulté qui ont eu un impact sur les clients de T-Mobile en 2021, 2022 et 2023 (un incident d’API et une violation d’application de vente).
Dans le cadre du règlement, l’opérateur de télécommunications doit investir 15,75 millions de dollars dans des améliorations de la cybersécurité et payer au Trésor américain une pénalité civile supplémentaire de 15,75 millions de dollars.
L’entreprise s’est également engagée à mettre en œuvre des mesures de sécurité plus robustes, notamment en adoptant des cadres de cybersécurité modernes tels qu’une architecture zero trust et une authentification multifacteur qui résistent aux attaques de phishing.
« Les réseaux mobiles d’aujourd’hui sont les principales cibles des cybercriminels. Les données des consommateurs sont trop importantes et beaucoup trop sensibles pour recevoir autre chose que les meilleures protections en matière de cybersécurité », a déclaré Jessica Rosenworcel, présidente de la FCC.
« Nous continuerons d’envoyer un message fort aux fournisseurs chargés de ces informations délicates qu’ils ont besoin de renforcer leurs systèmes, sinon il y aura des conséquences. »
Dans le cadre de cet accord, T-Mobile s’est engagé à améliorer les pratiques de confidentialité, de sécurité des données et de cybersécurité en corrigeant les failles de sécurité fondamentales, en améliorant la cyber-hygiène et en adoptant des architectures modernes robustes en:
- Fournir des mises à jour régulières sur la cybersécurité au conseil d’administration par l’intermédiaire du directeur de la sécurité de l’information de l’entreprise afin d’assurer une surveillance et une gouvernance accrues,
- Adopter des processus de minimisation des données, d’inventaire des données et d’élimination des données pour limiter la collecte et la conservation des informations client,
- Détection et suivi des actifs réseau critiques pour éviter toute utilisation abusive ou compromission,
- Travailler à la mise en œuvre d’une architecture moderne de confiance zéro, segmenter ses réseaux pour améliorer la sécurité,
- Évaluer les pratiques de sécurité de l’information par le biais d’audits indépendants par des tiers,
- Adopter une authentification multifacteur dans les systèmes de l’entreprise pour bloquer les risques de violation liés aux fuites, au vol et à la vente d’identifiants volés.
« Avec des entreprises comme T-Mobile et d’autres fournisseurs de services de télécommunications opérant dans un espace où les intérêts de la sécurité nationale et de la protection des consommateurs se chevauchent, nous veillons à ce que des modifications techniques critiques soient apportées aux réseaux de télécommunications pour améliorer notre posture nationale en matière de cybersécurité et aider à prévenir de futures compromissions des données sensibles des Américains », a ajouté Loyaan A. Egal, chef du Bureau de l’application de la FCC.
Le Groupe de travail de la FCC sur la confidentialité et la protection des données, créé en 2023 par la présidente Rosenworcel, a joué un rôle central dans l’enquête et le règlement, tout comme il l’a fait lorsque la FCC a conclu des accords similaires avec AT&T en septembre 2024 (13 millions de dollars) et Verizon au nom de sa filiale TracFone Wireless en juillet 2024 (16 millions de dollars).
La FCC a également infligé une amende de près de 200 millions de dollars aux plus grands opérateurs de téléphonie mobile américains en avril 2024 pour avoir partagé les données de localisation en temps réel de leurs clients sans leur consentement.
Les ordonnances de confiscation d’avril ont finalisé les avis de responsabilité apparente (NAL) émis contre AT& T, Sprint, T-Mobile et Verizon en février 2020 et infligé à chacun des quatre opérateurs des amendes de plusieurs millions de dollars: 12 millions de dollars pour Sprintet 80 millions de dollars pour T-Mobile (les deux opérateurs ont fusionné depuis le début de l’enquête), plus de 57 millions de dollars pour AT & T et une amende de près de 47 millions de dollars pour Verizon.
En février, la FCC a également mis à jour ses règles de signalement des violations de données pour obliger les entreprises de télécommunications à signaler les violations de données affectant les informations personnellement identifiables de leurs clients dans les 30 jours.