Marriott écope d’une amende de 18,4 millions de livres sterling

Spread the love
  • Yum

Marriott écope d'une amende de 18,4 millions de livres sterling

L’autorité britannique de la protection des données (Information Commissionner’s Office, ICO) a infligé à Marriott une amende de 18,4 millions de livres sterling pour une fuite de données de 2014, réduisant fortement la sanction initialement prévue en raison de la crise sanitaire.

Le groupe hôtelier Marriot a fait l’objet d’une fuite des données en 2014 qui a eu un impact sur la chaîne hôtelière Starwood, acquise par Marriott en 2015.

publicité

À l’époque, les attaquants étaient parvenus à infiltrer les systèmes de Starwood et à exécuter des logiciels malveillants via un shell web, parmi lesquels des outils d’accès à distance et des logiciels de récupération d’identifiants.

Les attaquants ont ensuite pu entrer dans les bases de données utilisées pour stocker les données de réservation des clients, notamment les noms, les adresses électroniques, les numéros de téléphone, les numéros de passeport, les détails des voyages et les informations relatives aux programmes de fidélité.

La compromission s’est poursuivie jusqu’en 2018 : pendant quatre ans, des informations appartenant à environ 339 millions de clients ont été volées. Au total, sept millions de dossiers concernant des clients britanniques ont été exposés.

Selon l’ICO, l’entreprise n’a pas respecté les normes de sécurité exigées par le RGPD. L’autorité souligne l’absence de “mesures techniques ou organisationnelles appropriées” lors du traitement des données, et a donc enfreint les exigences de protection des données désormais exigées par le RGPD de 2018.

Toutefois, l’autorité a reconnu que “Marriott a agi rapidement pour contacter les clients et l’ICO” une fois l’incident de cybersécurité découvert, et “a agi rapidement pour atténuer le risque de dommages subis par les clients”.

La chaîne hôtelière, aux côtés de rivales telles que Hilton, a été contrainte de supprimer des milliers d’emplois, car de nombreux voyages ont été annulés en raison de la pandémie de coronavirus. Après avoir enregistré sa première perte trimestrielle en près d’une décennie, la société a déclaré qu’elle s’attendait à des pertes de 85 millions de dollars par mois en 2020.

En raison des difficultés actuelles de Marriott et compte tenu des récentes améliorations de la sécurité de la société, l’ICO a donc infligé une amende considérablement réduite par rapport à la sanction initialement proposée, estimée à plus de 99 millions de livres sterling.

La première estimation de l’amende, publiée en juillet 2019, avait été fixée à 99 200 396 £ en se fondant sur les manquements au RGPD. Cependant, l’ICO indique que les discussions avec Marriot, les améliorations de la sécurité et les dommages économiques causés par la crise sanitaire ont conduit à la révision de ce chiffre.

“Des millions de personnes ont vu leurs données affectées par l’échec de Marriott ; des milliers ont contacté une ligne d’assistance et d’autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que la société à laquelle ils faisaient confiance ne l’avait pas fait”, a commenté Elizabeth Denham, commissaire à l’information du Royaume-Uni. “Lorsqu’une entreprise ne s’occupe pas des données de ses clients, l’impact n’est pas seulement une amende éventuelle, ce qui compte le plus, c’est le public dont elle avait le devoir de protéger les données”.

Le mois dernier, British Airways a été condamnée à une amende de 20 millions de livres sterling par l’ICO après que des attaquants aient volé des informations appartenant à plus de 400 000 clients en 2018.

L’autorité de protection des données avait reproché à la compagnie aérienne des failles de sécurité “inacceptables” ayant entraîné la fuite des données, notamment l’absence d’audits de cybersécurité, le laxisme des contrôles d’accès et le faible recours à l’authentification à deux facteurs (2FA).

L’amende est l’une des plus élevées que l’ICO ait infligées à ce jour ; cependant, elle pourrait être bien pire. Le chiffre de 20 millions de livres sterling a été calculé en tenant compte des améliorations “considérables” de la sécurité de British Airways et de l’impact du COVID sur l’activité.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: