Le Bureau du Commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 18,4 millions d’euros à la société hôtelière Marriott en vertu du Règlement général sur la protection des données (GDPR) pour la cyberattaque de 2014 contre sa chaîne Starwood qui a vu 393 millions de dossiers clients compromis. L’amende révisée est une réduction de 81 % par rapport à la somme initiale de 99 millions d’euros.

Cette dernière réduction intervient à peine quinze jours après que British Airways a réussi à plaider une amende de 183 millions d’euros pour la protection des données jusqu’à 20 millions d’euros, reflétant les mesures prises par la compagnie aérienne par la suite pour corriger les lacunes dans sa posture de sécurité, ainsi que l’impact de la pandémie de Covide-19. L’OIC a déclaré aujourd’hui que la réduction de l’amende de Marriott reflétait également ces facteurs.

L’OIC a déclaré que Marriott avait agi rapidement pour contacter les clients et informer les autorités une fois qu’elle a pris connaissance du problème et a depuis mis en œuvre des mesures de sécurité plus appropriées.

« Les données personnelles sont précieuses et les entreprises doivent s’en occuper », a déclaré la commissaire à l’information Elizabeth Denham. « Des millions de données ont été affectées par l’échec de Marriott. Des milliers de personnes ont contacté une ligne d’assistance téléphonique et d’autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que l’entreprise avec laquelle ils lui avaient fait confiance ne l’avait pas fait.

« Lorsqu’une entreprise ne s’occupe pas des données de ses clients, l’impact n’est pas seulement une amende possible, ce qui importe le plus, c’est le public dont elle avait le devoir de protéger les données. »

L’incident de 2014 à Starwood n’a pas été découvert jusqu’en novembre 2018, et a été le résultat d’un compromis relativement trivial par les cybercriminels, qui ont injecté du code shell web sur un appareil sur le réseau de Starwood, qu’ils ont utilisé pour installer un cheval de Troie d’accès à distance (Rat) et d’obtenir un accès complet en tant qu’utilisateur privilégié.

Ils ont ensuite installé et exécuté l’outil de post-exploitation de Mimitatz pour recueillir des informations d’identification légitimes et à partir de là, accéder et exfiltrer la base de données de réservation des clients de Starwood.

Les données comprenaient les noms, les adresses e-mail, les numéros de téléphone, les numéros de mot de passe non chiffrés, les informations d’arrivée et de départ et l’état du programme de fidélité. Environ sept millions de points de données touchés concernaient des ressortissants britanniques.

L’attaquant a conservé l’accès aux données sur le réseau de Starwood pendant près de quatre ans, grâce à l’acquisition de la chaîne par Marriott en 2016, bien que son réseau soit resté séparé de celui de Marriott tout au long du processus d’intégration.

Ils ont été découverts lors d’une action sur la base de données le 7 septembre 2018, ce qui a déclenché une alerte Guardium à Accenture, à qui la direction de la base de données de réservation de Starwood a été externalisée, ce qui a informé Marriott.

L’OIC a estimé qu’entre le 25 mai 2018, date d’entrée en vigueur du GDPR et du 17 septembre 2018, date à laquelle l’enquête de Marriott a permis d’identifier et de bloquer le Rat, la chaîne hôtelière n’avait pas respecté l’article 5, paragraphe 1, point f), et 32 du RGDP en omettant de traiter les données à caractère personnel d’une manière qui assurait une sécurité appropriée.

Un porte-parole de Marriott a déclaré: « Marriott n’a pas l’intention de faire appel de la décision, mais ne fait aucun aveu de responsabilité en ce qui concerne la décision ou les allégations sous-jacentes. Comme l’ICO le reconnaît, Marriott a pleinement coopéré tout au long de l’enquête.

« Marriott regrette profondément l’incident. Marriott reste attaché à la confidentialité et à la sécurité des informations de ses clients et continue de faire des investissements importants dans les mesures de sécurité de ses systèmes, comme le reconnaît l’OIC. L’OIC reconnaît également les mesures prises par Marriott à la suite de la découverte de l’incident pour informer et protéger rapidement les intérêts de ses clients.

« Marriott veut rassurer les clients que l’incident et la décision de l’OIC ne concernaient que le réseau distinct de Starwood, qui n’est plus utilisé. »

Adam Rose, associé de Mishcon de Reya, a déclaré que la dernière décision de l’OIC semblait mettre une pression « démesurée » sur l’acheteur d’une société. « Avec toutes ses garanties de diligence raisonnable et de garantie, Marriott n’a pas découvert la violation des données, notamment parce que Starwood n’était pas au courant. Ce genre de décision ne fait pas grand-chose pour protéger les individus ou pour aider les entreprises prospères à croître par l’acquisition : Marriott a fait tout ce qu’elle pouvait raisonnablement lors de l’acquisition, mais elle est maintenant confrontée à une amende importante, quoique réduite », a-t-il dit.

Ann Bevitt, associée du cabinet d’avocats Cooley, a commenté : « Comme pour l’amende de BA, l’OIC a indiqué qu’elle avait l’intention d’infliger une amende de 99 millions d’euros à Marriott en juillet 2019 – et l’amende finale est nettement inférieure à celle initialement proposée.

« Il reste à voir si une deuxième amende considérablement réduite sera saluée comme un autre exemple de « pragmatisme pandémique » et encouragera les organisations à être moins robustes dans leur adhésion au RGDPR. »

Judy Krieg, associée chez Fieldfisher, a ajouté: « Il devient très clair que les amendes prévues GDPR méga pour les cyber-violations (au moins pour les cyber-violations) ne sont pas à venir à la réalisation. Cela dit, Marriott, comme British Airways, a ressenti des effets significatifs de Covid-19 et le chiffre n’est pas sorti de nulle part, de sorte que nous ne pouvons que spéculer sur ce qui a été pris en compte dans les calculs de l’OIC.

Selon un rapport, les OSCI et d’autres professionnels de la cybersécurité se disent de plus en plus confiants dans leurs politiques et pratiques en matière d’identité à la suite des changements apportés pour soutenir le travail à distance en nuage pendant la pandémie de Covid-19.

L’étude, Gouvernance et administration de l’identité pour la nouvelle norme informatique, menée par Dimensional Research pour le compte d’une identité, a constaté que les équipes de sécurité ont mis une priorité accrue sur la demande d’accès, la gestion de l’identité et du cycle de vie d’accès, le processus d’identité et le flux de travail, et les technologies de gestion des rôles au cours des sept derniers mois. Un peu moins du tiers des 1 216 répondants ont déclaré que Covide-19 était directement derrière tout cela.

« Cette recherche montre clairement que l’informatique en nuage a été une bouée de sauvetage pour de nombreuses entreprises, car les équipes informatiques ont pivoté et soutenu le virage massif vers le travail loin des bureaux », a déclaré Darrell Long, président et directeur général de One Identity.

« Bien que nous savions que les changements provoqués par la pandémie étaient soudains, ce qui était particulièrement remarquable, c’est la force dont les résultats ont prouvé que les organisations devaient se concentrer sur les défis immédiats posés par le passage agressif à l’informatique en nuage, principalement en trouvant des solutions qui ont rationalisé l’administration et la sécurisation des personnes qui ont accès à quoi et comment. »

Le processus de transition vers le travail en toute sécurité n’a toutefois pas été sans défis. Au début de la pandémie, l’impact le plus important sur les praticiens de la gestion de l’identité aurait été des changements rapides causant des défis dans les environnements Active Directory et Azure Active Directory, cités par 37 %. Parmi les autres questions, mentionnons les contraintes budgétaires dues à la baisse soudaine, citée par 34 %, et le fait de ne pas être équipé pour faire face au volume et à la portée des changements apportés aux profils d’utilisateurs, cités par 30 %.

D’autres ont indiqué que leur stratégie cloud n’était pas en mesure de soutenir le changement rapide, et il y avait aussi des problèmes découlant de l’incapacité d’équiper un programme d’accès à distance pour les administrateurs ainsi que l’échec de la mise en œuvre de l’authentification multifacteur.

Le travail accompli depuis a donné lieu à un sentiment général de confiance parmi les personnes interrogées. Interrogés sur l’évolution de la confiance dans l’efficacité du programme de gestion de l’identité de l’organisation après Covide-19, 49% se sont dits un peu plus confiants et 17% beaucoup plus confiants. Interrogés sur l’évolution de la confiance dans la sécurité et la gestion des comptes privilégiés au cours de l’organisation, 42% se sont dits un peu plus confiants et 18% beaucoup plus confiants. La confiance tendait à être plus élevée chez ceux qui avaient accru la priorité des tâches de gestion de l’identité et de l’accès (IAM).

Cependant, malgré cela, il peut encore y avoir des barrages routiers à venir, a rapporté One Identity. Lorsqu’on leur a demandé dans quelle mesure l’organisation était prête à annuler les changements de compte lorsque les utilisateurs retournent dans un environnement de bureau, seulement 45 % ont répondu qu’ils étaient entièrement préparés, tandis que 9 % ont répondu qu’ils découvriraient quand ils le feraient réellement.

« Nous connaissons maintenant la vérité : la pandémie de Covid-19 n’a pas changé la nécessité d’être productive, ni n’a modifié les exigences réglementaires auxquel les entreprises sont confrontées, mais il est clair que les équipes informatiques et de sécurité se sont efforcées de déplacer leurs systèmes pour s’adapter au travail de la maison de manière sécurisée et contrôlée », a déclaré M. Long.

« Les entreprises et les organisations ont été aidées dans une certaine mesure par des investissements dans le cloud qui les ont préparées avant Covide. Toutefois, la plupart d’entre eux sont encore confrontés à de nouveaux défis à mesure que les employés s’adaptent, que les équipes de TI et de sécurité répondent efficacement au défi de fournir des processus efficaces pour accéder aux ressources nécessaires pour que la main-d’œuvre fasse son travail et que les défis en matière de sécurité associés à ce nouvel environnement de travail.

Dans cette vidéo tirée de la diversité annuelle et de l’inclusion d’Computer Weekly dans un événement technologique, en partenariat avec Spinks, Suzanne McGovern, responsable de la diversité, de l’équité et de l’inclusion chez Splunk, explique comment pratiquer une meilleure allyship, expliquant pourquoi il est important d’avoir un allié au sein d’une entreprise et donnant des conseils pratiques sur la façon dont les individus peuvent commencer à soutenir les groupes minoritaires sur le lieu de travail.

La diversité et l’inclusion sont un sujet très débattu dans le secteur de la technologie depuis un certain temps, les entreprises qui réalisent que la construction d’une culture interne inclusive n’est pas seulement une initiative de bien-être, mais elle est également logique sur le plan commercial.

McGovern explique : « Je crois sincèrement que la création d’un milieu de travail plus diversifié et inclusif est la bonne chose à faire, mais elle entraîne également des résultats commerciaux plus solides. »

Soulignant que le racisme et la discrimination sont « trop familiers » pour les groupes marginalisés, McGovern affirme également que la résurgence récente du mouvement Black Lives Matter (BLM) a maintenant laissé d’autres personnes se demander comment elles peuvent contribuer au changement.

Les gens sont maintenant « se réunir en nombre sans précédent » pour essayer de s’entraider, souvent en utilisant la technologie pour le faire, et McGovern dit « le monde regarde ».

Construire une culture inclusive ne peut se faire au sein d’une organisation sans mettre l’accent sur l’allyship, dit McGovern, qui affirme: « Il ya beaucoup d’endroits différents où nous pouvons pratiquer l’allyship au sein de l’industrie de la technologie, et au sein de votre organisation, comme l’utilisation de votre pouvoir pour soutenir ou défendre des collègues de couleur ou de groupes marginalisés.

Beaucoup de ceux qui ont pris part à l’événement 2020 Computer Weekly diversité et l’inclusion, y compris le gagnant de cette année de la femme la plus influente dans le Royaume-Uni Tech accolade, Stemettes PDG, Anne-Marie Imafidon, a souligné que l’allyship – prendre des mesures concertées pour faire avancer les choses et encourager le changement pour ceux qui sont dans une position moins privilégiée – est un « verbe », ce qui signifie parler n’est pas bon sans action.

McGovern dit: « L’allyship est un verbe, c’est un mot qui fait, et cela signifie que vous avez réellement à faire quelque chose. »

Brillant une lumière sur les propres groupes de ressources des employés (ERGs) de Splunk, McGovern dit à l’intérieur Splunk il ya un certain nombre de groupes offrant un soutien, le mentorat et le réseautage pour les groupes sous-représentés couvrant les communautés telles que les femmes dans la technologie, les personnes LGBTQ , les noirs, les personnes handicapées, ceux qui sont neurodivers ou les anciens combattants, pour n’en nommer que quelques-uns, qui ne seraient pas aussi réussi sans les alliés impliqués dans eux.

Lorsqu’il s’agit de favoriser l’ation dans une organisation, McGovern dit : « Cela commence par vous. »

Bien qu’il soit important de vérifier avec des collègues, ne leur donnez pas le devoir de vous renseigner sur la façon dont ils sont touchés.

McGovern explique : « Nous pouvons faire preuve d’allyship en apprenant, et en tant que membre d’un groupe majoritaire, en tant que personne blanche, il est de ma responsabilité d’éliminer le fardeau de nommer la question, l’injustice ou le problème. »

La pratique de l’allyship devrait faire partie de la composition d’une organisation, et les alliés devraient travailler avec les équipes de direction pour rendre l’organisation et eux-mêmes responsables.

Elle résume : « J’espère que les alliés pourront profiter de ce moment pour aider davantage, pour s’exprimer, parce que sans eux, nous ne pouvons pas faire les progrès que nous devons réaliser en ce moment. »

Voir toutes les vidéos