Scribd
Importer
46 vues3 pages

Note 1

L'ICO a infligé à Marriott une amende de 18,4 millions de livres pour une violation de données due à des failles de sécurité dans son système informatique. Cette violation, résultant d'une cyberattaque sur les systèmes de Starwood, a exposé des centaines de millions de données clients, soulignant l'importance du respect des exigences de sécurité selon le RGPD. La décision de l'ICO met en évidence les vulnérabilités critiques et sert de référence pour les entreprises cherchant à améliorer leur sécurité des données.

Transféré par

Emmanuel TCHUMMOGNI
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
46 vues3 pages

Note 1

L'ICO a infligé à Marriott une amende de 18,4 millions de livres pour une violation de données due à des failles de sécurité dans son système informatique. Cette violation, résultant d'une cyberattaque sur les systèmes de Starwood, a exposé des centaines de millions de données clients, soulignant l'importance du respect des exigences de sécurité selon le RGPD. La décision de l'ICO met en évidence les vulnérabilités critiques et sert de référence pour les entreprises cherchant à améliorer leur sécurité des données.

Transféré par

Emmanuel TCHUMMOGNI
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Sanction de Marriott par l’ICO : l’enjeu crucial de la sécurité des données

Le 30 octobre 2023, l’ICO a condamné le géant américain de l’hôtellerie, le groupe Marriott, à une
lourde sanction pécuniaire de 18,4 millions de livres sterling, en raison d’une violation de données
de grande ampleur consécutive à des failles avérées de son système informatique. L’occasion de
rappeler l’enjeu capital que constitue le respect des exigences de sécurité par le responsable de
traitement, conformément aux dispositions de l’article 32 du RGPD.

En 2016, à la suite de son acquisition de la société Starwood, Marriott a intégré la totalité des
systèmes informatiques de celle-ci, ignorant qu’ils avaient été compromis à l’occasion d’une
cyberattaque perpétrée deux ans auparavant, laquelle permettait toujours au pirate d’accéder à ces
systèmes ; la violation est détectée par Marriott seulement en septembre 2018, soit plusieurs mois
après l’entrée en application du Règlement général sur la protection des données 2016/679 du
27 avril 2016, ou RGPD.

L’intrus pouvait ainsi extraire librement des centaines de millions de données clients n’ayant pas
fait l’objet de mesures de protection suffisantes par Marriott après le rachat : données
d’identification, coordonnées, informations de voyage, plusieurs millions de passeports, etc.
L’alerte a uniquement été déclenchée lorsque celui-ci a tenté d’accéder aux données bancaires des
clients.

À la suite de la notification de cette violation de données par Marriott en novembre 2018,


l’Information Commissioner’s Office (ICO), l’autorité de régulation du Royaume-Uni en matière de
protection des données personnelles, a déclenché une procédure de sanction, en prenant le soin,
en tant qu’autorité « chef de file », d’y associer étroitement les autres autorités concernées, en
application du mécanisme de guichet unique visé à l’article 60 du RGPD. En effet, au-delà des
ressortissants britanniques affectés, les données compromises au cours de l’attaque se
rapportaient à des millions de clients à travers l’Espace économique européen (EEE), impliquant
dès lors les autorités nationales compétentes. La CNIL a notamment été sollicitée et a « approuvé
les projets s’agissant tant des manquements retenus que des montants des amendes proposés »
(CNIL, 2 nov. 2020, Cybersécurité : l’autorité britannique de protection des données, en coopération
avec la CNIL, inflige deux amendes record ; la CNIL a également été sollicitée dans le cadre de la
procédure de sanction enclenchée par l’ICO à l’encontre de British Airways).

Outre un exposé très détaillé du cadre juridique applicable et très circonstancié de la violation de
données, la décision de sanction prononcée contre Marriott est riche en enseignements en
particulier à deux égards :

• d’une part, en décrivant avec précision les failles de sécurité ayant permis la compromission des
données par l’intrus, ainsi que les correctifs qui auraient pu permettre de déjouer la cyberattaque
ou, du moins, d’en minimiser les conséquences ;

• d’autre part, en explicitant le montant de l’amende administrative et déclinant tous les facteurs
ayant conduit l’ICO à moduler cette somme.

Ainsi, au-delà de son aspect punitif à l’égard de Marriott, cette décision de sanction peut servir de
référentiel à tout responsable de traitement soucieux de conformer ses activités au droit en
vigueur, et plus spécifiquement désireux de renforcer la sécurité de son architecture informatique
en vue de protéger les données qui y sont hébergées, en tenant compte « des coûts de mise en
œuvre » et « des risques […] pour les droits et libertés des personnes physiques » conformément à
l’article 32 du RGPD.
Une analyse circonstanciée des défauts de sécurité à l’origine des violations de données

Probablement dans un souci de pédagogie à l’égard des autres responsables de traitement, l’ICO
détaille dans cette décision les quatre principales vulnérabilités ayant permis, conjointement,
l’intrusion et le maintien du cyberpirate dans l’architecture informatique de Marriott et son accès
aux données clients.

Suivi insuffisant des comptes privilégiés

Ces derniers ont des accès et habilitations plus étendus qu’un compte utilisateur « classique » au
sein des systèmes informatiques (SI) de la structure, justifiés par les fonctions et prérogatives de
leur titulaire (par exemple, un compte administrateur).

Selon l’ICO, un monitoring efficace des comptes privilégiés tels que celui utilisé par l’intrus aurait
dû, après accès de ce dernier à l’environnement de données de cartes bancaires, l’empêcher de
poursuivre toute activité inhabituelle ou non autorisée. Le fait qu’une attaque informatique
perpétrée depuis une adresse IP interne soit, semble-t-il, plus difficilement détectable qu’une
intrusion extérieure rend ce type de monitoring d’autant plus vital.

Suivi insuffisant des bases de données

En lien avec le manquement précédent, l’ICO reproche à Marriott une absence de monitoring des
bases de données elles-mêmes, et plus précisément celles contenant les données bancaires des
clients. Sont notamment pointées du doigt les défaillances dans le système d’alerte de sécurité et
l’absence d’enregistrement des actions entreprises sur ces bases, tels la copie et l’export de
données, permettant ainsi à l’intrus de dupliquer les données pour une réutilisation ultérieure sans
être détecté. L’autorité de contrôle estime à cet égard que la seule mise en place d’une procédure
d’authentification multifacteurs n’est pas suffisante.

Contrôle des SI critiques

Il s’agit des systèmes dont l’importance est primordiale pour le maintien de l’activité de l’entité et
dont la compromission pourrait entraîner des conséquences graves. En complément des actions
de monitoring précédemment évoquées et des alertes de sécurité, il incombait à Marriott de
mettre en œuvre en tant que mesure préventive, entre autres, un « renforcement des serveurs »,
lequel aurait pu empêcher l’attaquant d’accéder en premier lieu aux comptes administrateurs et
ainsi de pouvoir naviguer librement sur toute l’architecture informatique de Marriott.

L’ICO préconise en ce sens l’utilisation du whitelisting (ou liste blanche) permettant de restreindre
l’accès à certains systèmes et/ou logiciels uniquement à des adresses IP ou adresses IP
prédéterminées.

Cryptage des données

Bien que Marriott ait correctement crypté les données de cartes bancaires conformément aux
standards PCI/DSS, l’ICO regrette que la fonction de cryptage n’ait pas été appliquée plus largement
à l’ensemble des données personnelles, et notamment à l’intégralité des passeports des clients. Par
ailleurs, une clé de déchiffrement était disponible dans les fichiers informatiques de Marriott,
permettant de décrypter les données protégées et rendant en conséquence vains les efforts
déployés par la société en ce sens.

Ces quatre failles majeures, ayant toutes concouru à la survenance du dommage et en


conséquence fondé la sanction de l’ICO, ne se distinguent pas par leur originalité ; elles sont au
contraire susceptibles d’être identifiées dans les SI de tout responsable de traitement, et dès lors
mettent en lumière l’impérieuse nécessité d’une réelle intégration des enjeux de sécurité sur le
plan opérationnel. La sanction de 20 millions de livres sterling récemment infligée par l’ICO à
British Airways, soit la pénalité la plus importante jamais prononcée par l’autorité, rappelle qu’une
combinaison des failles de sécurité a priori anodines, notamment dans la gestion des accès aux SI
et un défaut de chiffrement des données, peuvent conduire à une violation massive de données et
avoir un impact considérable sur le responsable de traitement au niveau financier et sur le plan de
son image.

Vous aimerez peut-être aussi