Accéder au contenu principal

Actualités

Sanction de Marriott par les autorités britanniques sur l’enjeu crucial de la sécurité des données

Le 30 octobre 2020, l'Information Commissioner’s Office a condamné le groupe Marriott, à une lourde sanction de 18,4 millions de livres sterling, en raison d’une violation de données de grande ampleur consécutive dues à des failles de son système informatique.

En 2016, à la suite de son acquisition de la société Starwood, Marriott a intégré l’ensemble de ses systèmes informatiques, ignorant qu’ils avaient été compromis à l’occasion d’une cyberattaque perpétrée deux ans auparavant, laquelle permettait toujours au pirate d’accéder à ces systèmes. La violation a été détectée par Marriott en septembre 2018, soit plusieurs mois après l’entrée en application du Règlement général sur la protection des données 2016/679 du 27 avril 2016, ou RGPD.

L’extraction de centaines de millions de données clients n’ayant pas fait l’objet de mesures de protection suffisantes par Marriott après le rachat pouvait être effectuée. L’alerte a uniquement été déclenchée lorsque l’intrus a tenté d’accéder aux données bancaires des clients.

À la suite de la notification de cette violation de données par Marriott en novembre 2018, l’Information Commissioner’s Office (ICO), a déclenché une procédure de sanction, en application de l’article 60 du RGPD. En effet, au-delà des ressortissants britanniques affectés, les données compromises au cours de l’attaque se rapportaient à des millions de clients à travers l’Espace économique européen (EEE). La CNIL (Commission Nationale de l’Informatique et des Libertés) a notamment été sollicitée et a approuvé les projets s’agissant tant des manquements retenus que des montants des amendes proposés (CNIL, 2 nov. 2020). Ladite décision de sanction prononcée contre Marriott explique avec précision d’une part, les failles de sécurité ayant permis la compromission des données par l’intrus, ainsi que les correctifs qui auraient pu permettre de déjouer la cyberattaque et d’autre part le montant de l’amende administrative.

Une analyse circonstanciée des défauts de sécurité à l’origine des violations de données a été effectuée par l’ICO indiquant les points suivants :

  • Suivi insuffisant des comptes privilégiés ayant des accès plus étendus qu’un compte utilisateur « classique » au sein des systèmes informatiques (SI) de la structure.
  • Suivi insuffisant des bases de données notamment via l’absence de monitoring de ces dernières, et plus précisément celles contenant les données bancaires des clients.
  • Contrôle des SI critiques insuffisant, systèmes dont l’importance est primordiale pour le maintien de l’activité de l’entité et dont la compromission pourrait entraîner des conséquences graves. L’ICO préconise en ce sens l’utilisation du whitelisting (liste blanche) permettant de restreindre l’accès à certains systèmes et/ou logiciels uniquement à des adresses IP ou adresses IP prédéterminées.
  • Cryptage des données, pas appliqué plus largement à l’ensemble des données personnelles, et notamment à l’intégralité des passeports des clients.

Marriott a pris des mesures notamment le dispositif mis en place par la société post-cyberattaque, pour informer et accompagner les clients concernés par la violation de données, la médiatisation de cette affaire, initiée en partie par Marriott elle-même et dommageable pour son image de marque, sa coopération avec l’autorité de contrôle.

L’absence de condamnation préalable ainsi que le budget de plusieurs dizaines de millions de dollars investi a posteriori par Marriott dans la sécurité informatique ont été aussi pris en considération par l’ICO.

La chaîne hôtelière a déclaré :

Marriott n'a pas l'intention de faire appel de la décision, mais n'admet aucune responsabilité en ce qui concerne la décision ou les allégations sous-jacentes.

Tenant compte de ces circonstances, l’autorité britannique a atténué la sévérité de sa sanction en raison des difficultés liées à la situation exceptionnelle de pandémie de Covid-19 mais a souhaité s’inscrire dans une démarche pédagogique pour l’effectivité du droit de la protection des données personnelles.

Chargement...

Vous avez consulté 10 articles. Revenir à l'accueil ou en haut de la page.

Accéder à l'article suivant.

Inscrivez-vous pour ajouter des thèmes en favoris. Inscrivez-vous pour ajouter des catégories en favoris. Inscrivez-vous pour ajouter des articles en favoris. Connectez-vous gratuitement pour voter for the application .

Déjà inscrit ? Déjà inscrit ? Déjà inscrit ? Déjà inscrit ?