En novembre 2018, Marriott International a été victime de l’un des plus importants piratages de données à ce jour. Au moment où la violation s’est produite, le nombre de dossiers clients volés était estimé à 500 millions, chiffre qui a ensuite été ramené à 339 millions, ce qui représente toujours une quantité considérable de données personnelles.
Les informations personnelles volées lors de ce piratage ont été compromises par un tiers non autorisé, qui a pu accéder aux données des clients enregistrés dans le réseau de l’entreprise depuis 2014. Les informations copiées par le cybercriminel etaient une « combinaison » de nom, d’adresse postale, de numéro de téléphone, d’adresse électronique, de numéro de passeport, d’informations sur le compte bancaire, de date de naissance, de sexe et de données d’enregistrement et de départ de l’hôtel.
Certains dossiers comprenaient également des informations cryptées sur les cartes de paiement.
Suite à cette violation de données, en juillet 2019, l’ICO, l’autorité britannique de protection des données, a proposé une amende de 99 millions de livres sterling (€110,385,736) pour la chaîne hôtelière au titre du RGPD. Cependant, comme l’explique Privacy Affairs cette amende n’est pas encore définitive, et le montant final pourrait varier considérablement.
Une nouvelle violation de données chez Marriott International
Pour ne pas arranger les choses, Marriott International a annoncé vers la fin du mois de mars qu’il avait subi une autre violation de données. Cet incident a été détecté à la mi-février, et les informations personnelles de quelque 5,2 millions de clients de la chaîne hôtelière auraient été affectées.
L’entreprise a publié une déclaration expliquant que « Qu’à la fin février 2020, nous avons remarqué qu’une quantité inattendue d’informations sur les clients avait pu être consultée en utilisant les identifiants de connexion de deux employés d’une entité franchisée »(…) « Nous pensons que cette activité a commencé à la mi-janvier 2020. Dès la découverte, nous nous sommes immédiatement assurés que les identifiants de connexion étaient désactivés, nous avons commencé une enquête, mis en place une surveillance accrue et mis en oeuvre des ressources pour informer et aider les clients ».
La fuite d’informations
L’enquête sur cette violation est en cours, mais Marriott affirme qu’il n’y a « aucune raison de croire que les informations impliquées comprenaient les mots de passe ou les codes PIN des comptes Marriott Bonvoy, les informations des cartes de paiement, les informations des passeports, les cartes d’identité nationales ou les numéros de permis de conduire ».
L’entreprise a expliqué que les informations divulguées comprennent des noms, des adresses de domicile et de courriel, des numéros de téléphone, des dates de naissance et des informations sur les préférences des clients dans les hôtels du groupe.
Pour aider les personnes concernées par la fuite, Marriott a mis en place un portail où elles peuvent déterminer si leurs informations ont été impliquées dans le piratage, et quelles catégories de données ont été touchées. Les mots de passe des comptes Marriott Bonvoy qui auraient pu être touchés ont été réinitialisés. De plus, la prochaine fois que ces comptes seront utilisés, leurs propriétaires seront invités à activer une authentification à plusieurs facteurs (MFA). Le groupe offre également aux personnes concernées un abonnement d’un an à un service de surveillance des données personnelles.
Les amendes RGPD
Depuis son entrée en vigueur en mai 2018, plus de 250 organisations ont été sanctionnées dans le cadre du RGPD. L’amende que Marriott a reçue l’année dernière est la deuxième plus élevée à ce jour, le record étant détenu par British Airways: L’OIC a proposé une amende de 183 millions de livres sterling (204 600 000 euros) pour la compagnie aérienne. L’année 2019 à été l’année des amendes à montant record en vertu de la réglementation européennede protection des données. Six compagnies ont reçu des amendes de plus d’un million d’euros pour non-respect des dispositions du RGPD.
Comment éviter les piratages de données
Cette violation de données démontre l’importance d’un contrôle rigoureux des références des comptes que nous utilisons. Les mots de passe doivent être robustes et il est important de les changer régulièrement. En outre, bien qu’il ne soit pas entièrement infaillible, il est conseillé d’utiliser une authentification à plusieurs facteurs pour ajouter une autre couche de protection aux comptes.
Une autre mesure importante pour protéger les données personnelles stockées dans votre entreprise est d’avoir un contrôle complet sur celles-ci. Pour y parvenir, Panda Adaptive Defense dispose d’un module supplémentaire, Panda Data Control. Data Control identifie, vérifie et surveille les données personnelles non structurées sur les ordinateurs : des données au repos, aux données en cours d’utilisation et aux données en mouvement. Ainsi, si quelqu’un tente d’effectuer une action sur ces données personnelles, ou tente de les voler, vous recevrez une notification.
Après sa violation de données de 2018, le groupe Marriott aura renforcé ses mesures de sécurité pour traiter et prévenir la perte d’informations personnelles. Toutefois, cette deuxième violation de données montre très clairement que seules les mesures les plus strictes sont suffisantes pour éviter ce genre d’incident.