Partenaires
Contactez-nous
Obtenez un devis
Écrit par Pierre Berteloot le 4 mai 2023

T-Mobile subit un nouvel incident de confidentialité, comment signaler ?

T-Mobile est confronté à une autre violation de la vie privée, nos experts donnent leur avis

Dans un déconcertant sentiment de déjà-vu, T-Mobile a été touché par une autre atteinte à la vie privée, marquant la deuxième fois en un an que le géant des télécommunications a échoué à protéger les informations sensibles de ses utilisateurs. La première atteinte à la vie privée, qui s'est produite en janvier 2023, a affecté un nombre stupéfiant de 37 millions d'individus. Cette fois, l'atteinte a été limitée à seulement 836 personnes, mais les implications restent tout aussi alarmantes.

L’incident de confidentialité a eu lieu entre la période du 24 Février au 30 Mars. Selon T-Mobile, la cause de l’incident de confidentialité provient d’actions de pirates extérieur à l’entreprise qui ont réussi à s’infiltrer dans son système d’information, et ont eu accès aux renseignements personnels des clients.

T-Mobile reconnait que la fuite de renseignements personnels concerne suffisamment de renseignements personnels pour que les personnes concernées puissent être victimes d’usurpations d’identités. L’entreprise a donc eu l’obligation, au regard du risque de préjudice grave des personnes, de notifier directement auprès des personnes concernées, la fuite de leurs renseignements personnels. 

En effet, le risque de préjudice grave s’apprécie notamment selon la gravité des renseignements personnels qui ont fuité. Voici la liste identifiée par T-Mobile qui peut différer selon les personnes concernées :

  • Nom et prénom,
  • Coordonnées,
  • Numéro de compte et numéros de téléphone associés,
  • NIP du compte T-Mobile,
  • Numéro de sécurité sociale,
  • Carte d'identité,
  • Date de naissance,
  • Solde dû,

Ici, en étudiant les renseignements personnels on constate immédiatement la présence de renseignements personnels sensibles notamment le numéro de sécurité sociale et la carte d’identité. Ces renseignements personnels, dans les mains de personnes mal intentionnés peuvent ouvrir des comptes de crédit, des cartes de crédit, des prêts ou des lignes de crédit, ou encore pour effectuer des achats frauduleux en ligne, et cela peut endetter les personnes concernées et compromettre leur note de crédit. On ne peut aussi que constater que la récupération d'une identité volée peut être longue et fastidieuse, nécessitant des heures de travail administratif, des appels téléphoniques et des e-mails. Cela peut entraîner une perte de temps et de productivité pour les personnes concernées ainsi qu’un stress émotionnel et un sentiment d’atteinte à leur vie privée et à leur réputation.

Quels sont alors les actions à faire si vous êtes victimes d’un incident de confidentialité :

1. Avant tout incident, prévoir une politique de gestion des incidents de confidentialité. Cette politique vous permettra d’agir de la manière la plus efficiente qui soit. Les notifications aux autorités de contrôles doivent être généralement transmise dans un délai de 72H après la connaissance de l’incident. Il faut donc être efficace et rapide et assurer une bonne communication au sein de votre entreprise pour contacter le Responsable à la Protection des Renseignements Personnels le plus rapidement possible.

2. Identifier la portée de l’incident de confidentialité. Il est impératif d’identifier le plus rapidement possible les renseignements personnels concernés par la fuite et également d’avoir une idée générale de la portée de l’incident. Il faut identifier si l’incident peut porter des préjudices sérieux aux personnes concernées. Si tel est le cas, alors il est obligatoire de le notifier à l’autorité de contrôle. Dans le même temps, cela permettra également de délimiter l’incident et d’identifier les différents territoires concernés par l’incident. Cette étape est indispensable pour identifier les différentes autorités de contrôles, qui doivent être notifiés de l’incident de confidentialité si l’incident concerne des personnes concernées dans différents territoires.

3. Signaler à ou aux autorités de contrôle, et si cela est obligatoire aux personnes concernées l’incident de confidentialité. Les modalités de signalement peuvent différer et les délais également selon la législation applicable.

On retrouve généralement les modalités suivantes pour les autorités de contrôles : 

  • description de l'incident ;
  • la date, l'heure et le lieu de l'incident
  • les personnes concernées et les tiers affectés ;
  • le type et la quantité de données à caractère personnel concernées et l'appareil affecte
  • une évaluation des risques pour les personnes concernées ;
  • la notification aux personnes concernées et aux tiers (si nécessaire) ;
  • les mesures de sécurité actuellement en place ; et
  • les mesures prises pour atténuer les conséquences de l'incident.

Pour l’information de l’incident aux personnes les modalités sont généralement les suivantes :

  • le contexte de l'incident et le moment où il s'est produit, ainsi qu'une description de la nature des informations personnelles affectées ou potentiellement affectées, sans divulguer d'informations personnelles spécifiques ;
  • une brève description des mesures prises pour limiter ou prévenir tout préjudice, ainsi que la liste des organisations qui ont été informées de la situation (service de police, banques..)
  • les actions entreprises par les organisations et les entreprises pour aider les personnes concernées, telles que le service d'aide et d'information, l'abonnement à une alerte de crédit, etc ;
  • les mesures que les personnes concernées peuvent prendre pour réduire le risque de préjudice ou pour mieux se protéger ;
  • d'autres documents d'information générale destinés à aider les personnes à se prémunir contre l'usurpation d'identité ;
  • les coordonnées d'une personne de contact de l'organisation qui peut répondre aux questions et à laquelle il est possible de s'adresser ; et
  • les principales mesures qui seront prises pour éviter que l'incident ne se reproduise (changement de pratique ou de processus, formation du personnel, révision ou développement de la politique, audit, suivi périodique, etc.)

4. Créer et maintenir un registre des incidents de confidentialité. 

Tout incident de confidentialité doit être documenté dans un registre. Ce registre doit être tenu à jours et communiqué à l’autorité de contrôle qui le demande.

Ce registre doit contenir :

  • Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ; 
  • Une brève description des circonstances de l’incident ; 
  • La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ; 
  • La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident ; 
  • Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre ; 
  • Une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables ; 
  • Si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant ;
  • Une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.

Si vous êtes préoccupé par la compromission de vos informations personnelles lors des récents incidents de confidentialité de T-Mobile, n'hésitez pas à agir. La protection de votre vie privée et la sécurisation de vos données sont cruciales, et Hitachi Systems Security est là pour vous aider. Notre équipe d'experts est spécialisée dans les solutions de confidentialité et de cybersécurité pour les entreprises et les particuliers. Contactez-nous dès aujourd'hui pour savoir comment nous pouvons vous aider à atténuer les risques, protéger vos données et garantir que votre vie privée est toujours une priorité absolue.

Apprendre encore plus

Articles similaires

Hitachi Systems Trusted Cyber Management annonce fièrement la nomination de Gajen Kandiah au poste de président de son conseil d'administration

22 janvier 2024
SANTA CLARA, CALIFORNIE - 22 janvier 2024 - Hitachi Systems Trusted Cyber Management (HSTCM) est ravi d'annoncer la nomination de Gajen Kandiah en tant que nouveau président du conseil d'administration, à compter du 1er janvier 2024. Kandiah succède à Shin Kuno, qui occupait le poste depuis septembre 2022.
En savoir plus

Renforcez votre cyberrésilience : L’impact des simulations « Purple Team »

29 novembre 2023
À une époque où les cyberattaques sont devenues une réalité inévitable, les organisations sont confrontées à la menace constante des failles de sécurité. Systèmes de sécurité Hitachi est à l'avant-garde de la lutte contre ce défi grâce à une approche innovante : la simulation « Purple Team ». Cette méthode de formation et de test en matière […]
En savoir plus

Protégez votre commerce en ligne et vos clients ce Vendredi fou

21 novembre 2023
Alors que le Vendredi fou bat son plein, les entreprises qui exploitent des plateformes de commerce électronique se retrouvent au premier rang de la frénésie des achats en ligne. Alors que les consommateurs s'empressent de saisir vos offres du Vendredi fou, on ne saurait trop insister sur l'importance de rester vigilant. L'essor des achats en […]
En savoir plus
phone-handsetcrossmenu