En un coup d’œil
Une violation massive de données ayant exposé 344 millions de clients conduit Marriott International à payer 52 millions de dollars d’indemnités. Le groupe hôtelier, notamment via sa filiale Starwood Hotels, a conclu un accord avec la Federal Trade Commission (FTC) suite à plusieurs incidents de sécurité critiques.
Ce règlement financier significatif s’accompagne d’une obligation réglementaire de développer un programme exhaustif de sécurité de l’information. La décision met en lumière les conséquences potentiellement lourdes des failles de cybersécurité pour les grandes entreprises.
Les organisations doivent désormais considérer la protection des données personnelles comme un enjeu stratégique majeur, impliquant des investissements conséquents en technologies et processus de sécurité. La prévention et la réactivité face aux cybermenaces deviennent un impératif absolu pour maintenir la confiance des clients.
Les violations de données de Marriott
Marriott International est un groupe hôtelier gérant et franchisant plus de 7 000 établissements dans 130 pays, opérant un portefeuille immense de propriétés hôtelières et de services d’hébergement.
Starwood était une entreprise américaine hôtelière et de loisirs jusqu’à son acquisition par Marriott en 2016, rendant ce dernier responsable de la sécurité des données et des opérations hôtelières associées.
Le communiqué de la FTC met en lumière trois cas majeurs où Marriott n’a pas protégé correctement les informations de ses clients.
En juin 2014, Starwood a subi une violation de données exposant les informations de paiement de nombreux clients. La brèche n’a été découverte et divulguée publiquement que 14 mois plus tard, laissant les clients impactés face à des risques élevés pendant plus d’un an.
Le second incident concerne des hackeurs ayant accédé à 339 millions de comptes clients Starwood, incluant 5,25 millions de numéros de passeport non cryptés. Cette violation s’est produite en juillet 2014 mais n’a été détectée qu’en septembre 2018, exposant encore une fois les clients pendant plusieurs années.
La troisième violation a directement impacté Marriott, où des acteurs malveillants ont accédé aux dossiers de 5,2 millions de clients en septembre 2018. Les données exposées comprenaient les noms, emails, adresses postales, numéros de téléphone, dates de naissance et informations de comptes de fidélité.
Dans ce cas également, Marriott a mis jusqu’en février 2020 pour découvrir la compromission et en informer ses clients.
Le règlement
La FTC accuse les deux entreprises d’avoir induit en erreur les consommateurs sur leurs pratiques de sécurité des données, soulignant des échecs comme de mauvais contrôles de mot de passe, des logiciels obsolètes et un manque de surveillance approprié de leur environnement informatique.
Dans le cadre de l’accord de règlement, Marriott et sa filiale Starwood devront désormais mettre en œuvre les mesures suivantes :
- Établir un programme complet de sécurité informatique avec des évaluations tierces tous les deux ans et une certification de conformité annuelle pendant 20 ans.
- Limiter la conservation des données au strict nécessaire et informer les clients des raisons de la collecte.
- Permettre aux clients de demander des examens des activités non autorisées sur leurs comptes de fidélité et restaurer les points volés.
- Fournir un moyen aux clients de demander la suppression des informations personnelles liées à leur email ou compte de fidélité.
- Interdire toute fausse déclaration sur le traitement des données personnelles et assurer la transparence des pratiques de sécurité.
Marriott a également conclu un règlement distinct avec 49 états et le district de Columbia, acceptant de payer 52 000 000 $ pour résoudre les allégations et réclamations liées à ces incidents de sécurité.
Pour conclure
La violation massive de données de Marriott révèle les risques catastrophiques de la négligence en cybersécurité. Les conséquences peuvent être dévastatrices tant sur le plan financier que réputationnel pour les organisations qui sous-estiment la protection de leurs systèmes d’information. La sécurité des données n’est plus un choix mais une obligation stratégique pour toute entreprise moderne. Investir dans une protection proactive devient désormais essentiel pour prévenir les incidents potentiellement ruineux. Power ITI propose une solution complète permettant aux entreprises de sécuriser efficacement leurs infrastructures numériques et de minimiser les risques de compromission.
