ICO réduit l’amende de violation Marriott à £ 18.4m

Le Bureau du Commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 18,4 millions d’euros à la société hôtelière Marriott en vertu du Règlement général sur la protection des données (GDPR) pour la cyberattaque de 2014 contre sa chaîne Starwood qui a vu 393 millions de dossiers clients compromis. L’amende révisée est une réduction de 81 % par rapport à la somme initiale de 99 millions d’euros.

Cette dernière réduction intervient à peine quinze jours après que British Airways a réussi à plaider une amende de 183 millions d’euros pour la protection des données jusqu’à 20 millions d’euros, reflétant les mesures prises par la compagnie aérienne par la suite pour corriger les lacunes dans sa posture de sécurité, ainsi que l’impact de la pandémie de Covide-19. L’OIC a déclaré aujourd’hui que la réduction de l’amende de Marriott reflétait également ces facteurs.

L’OIC a déclaré que Marriott avait agi rapidement pour contacter les clients et informer les autorités une fois qu’elle a pris connaissance du problème et a depuis mis en œuvre des mesures de sécurité plus appropriées.

« Les données personnelles sont précieuses et les entreprises doivent s’en occuper », a déclaré la commissaire à l’information Elizabeth Denham. « Des millions de données ont été affectées par l’échec de Marriott. Des milliers de personnes ont contacté une ligne d’assistance téléphonique et d’autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que l’entreprise avec laquelle ils lui avaient fait confiance ne l’avait pas fait.

« Lorsqu’une entreprise ne s’occupe pas des données de ses clients, l’impact n’est pas seulement une amende possible, ce qui importe le plus, c’est le public dont elle avait le devoir de protéger les données. »

L’incident de 2014 à Starwood n’a pas été découvert jusqu’en novembre 2018, et a été le résultat d’un compromis relativement trivial par les cybercriminels, qui ont injecté du code shell web sur un appareil sur le réseau de Starwood, qu’ils ont utilisé pour installer un cheval de Troie d’accès à distance (Rat) et d’obtenir un accès complet en tant qu’utilisateur privilégié.

Ils ont ensuite installé et exécuté l’outil de post-exploitation de Mimitatz pour recueillir des informations d’identification légitimes et à partir de là, accéder et exfiltrer la base de données de réservation des clients de Starwood.

Les données comprenaient les noms, les adresses e-mail, les numéros de téléphone, les numéros de mot de passe non chiffrés, les informations d’arrivée et de départ et l’état du programme de fidélité. Environ sept millions de points de données touchés concernaient des ressortissants britanniques.

L’attaquant a conservé l’accès aux données sur le réseau de Starwood pendant près de quatre ans, grâce à l’acquisition de la chaîne par Marriott en 2016, bien que son réseau soit resté séparé de celui de Marriott tout au long du processus d’intégration.

Ils ont été découverts lors d’une action sur la base de données le 7 septembre 2018, ce qui a déclenché une alerte Guardium à Accenture, à qui la direction de la base de données de réservation de Starwood a été externalisée, ce qui a informé Marriott.

L’OIC a estimé qu’entre le 25 mai 2018, date d’entrée en vigueur du GDPR et du 17 septembre 2018, date à laquelle l’enquête de Marriott a permis d’identifier et de bloquer le Rat, la chaîne hôtelière n’avait pas respecté l’article 5, paragraphe 1, point f), et 32 du RGDP en omettant de traiter les données à caractère personnel d’une manière qui assurait une sécurité appropriée.

Un porte-parole de Marriott a déclaré: « Marriott n’a pas l’intention de faire appel de la décision, mais ne fait aucun aveu de responsabilité en ce qui concerne la décision ou les allégations sous-jacentes. Comme l’ICO le reconnaît, Marriott a pleinement coopéré tout au long de l’enquête.

« Marriott regrette profondément l’incident. Marriott reste attaché à la confidentialité et à la sécurité des informations de ses clients et continue de faire des investissements importants dans les mesures de sécurité de ses systèmes, comme le reconnaît l’OIC. L’OIC reconnaît également les mesures prises par Marriott à la suite de la découverte de l’incident pour informer et protéger rapidement les intérêts de ses clients.

« Marriott veut rassurer les clients que l’incident et la décision de l’OIC ne concernaient que le réseau distinct de Starwood, qui n’est plus utilisé. »

Adam Rose, associé de Mishcon de Reya, a déclaré que la dernière décision de l’OIC semblait mettre une pression « démesurée » sur l’acheteur d’une société. « Avec toutes ses garanties de diligence raisonnable et de garantie, Marriott n’a pas découvert la violation des données, notamment parce que Starwood n’était pas au courant. Ce genre de décision ne fait pas grand-chose pour protéger les individus ou pour aider les entreprises prospères à croître par l’acquisition : Marriott a fait tout ce qu’elle pouvait raisonnablement lors de l’acquisition, mais elle est maintenant confrontée à une amende importante, quoique réduite », a-t-il dit.

Ann Bevitt, associée du cabinet d’avocats Cooley, a commenté : « Comme pour l’amende de BA, l’OIC a indiqué qu’elle avait l’intention d’infliger une amende de 99 millions d’euros à Marriott en juillet 2019 – et l’amende finale est nettement inférieure à celle initialement proposée.

« Il reste à voir si une deuxième amende considérablement réduite sera saluée comme un autre exemple de « pragmatisme pandémique » et encouragera les organisations à être moins robustes dans leur adhésion au RGDPR. »

Judy Krieg, associée chez Fieldfisher, a ajouté: « Il devient très clair que les amendes prévues GDPR méga pour les cyber-violations (au moins pour les cyber-violations) ne sont pas à venir à la réalisation. Cela dit, Marriott, comme British Airways, a ressenti des effets significatifs de Covid-19 et le chiffre n’est pas sorti de nulle part, de sorte que nous ne pouvons que spéculer sur ce qui a été pris en compte dans les calculs de l’OIC.