La Commission fédérale des communications (FCC) des États-Unis a annoncé, mardi 17 décembre, un accord de 13 millions de dollars avec AT&T pour résoudre une enquête concernant une violation massive de données depuis l’environnement cloud d’un fournisseur.
Le fournisseur de services téléphoniques AT&T a accepté de s’acquitter de la coquette somme de 13 millions de dollars pour mettre fin à une enquête sur une violation de données concernant un fournisseur cloud, datant de janvier 2023. Pour rappel, cette violation concernait les données de 8,9 millions de clients sans fil d’AT&T.
L’entreprise utilisait le fournisseur cloud en question pour générer et héberger du contenu vidéo de facturation et de marketing destiné à ses clients. Le fournisseur aurait dû détruire ou restituer les informations des clients d’AT&T lorsqu’elles n'étaient plus nécessaires. De son côté, AT&T n'a pas garanti que le fournisseur protégeait les informations des clients et les détruisait ou les retournait conformément au contrat.
AT&T devra faire mieux
Manque de chance, en janvier 2023, des pirates ont réussi à exfiltrer des informations sur les clients d’AT&T depuis l’environnement cloud en question. Une enquête a été ouverte pour déterminer si AT&T avait « manqué à ses responsabilités en matière de protection des données des clients et avait adopté des pratiques inappropriées en matière de confidentialité, de cybersécurité et de gestion des fournisseurs dans le cadre de cette violation », décrit un communiqué de la FCC.
En plus de l’amende, l’entreprise de télécommunications s’est engagée à renforcer ses pratiques en matière de gouvernance et de protection des données, ainsi qu'à respecter les procédures de gestion des données sensibles. AT&T devra améliorer le suivi des données des clients, exiger de ses fournisseurs qu'ils respectent les obligations de conservation et de suppression des données, mettre en place des contrôles multifactoriels et une supervision des fournisseurs, ainsi qu’un programme complet de sécurité de l’information et la réalisation d’audits annuels de conformité.