La liste toujours plus longue des violations de données d'entreprises s'est encore allongée la semaine dernière, lorsque Marriott International a révélé avoir été la dernière victime en date d'une cyberattaque de grande ampleur. Le vendredi30 novembre 2018, Marriott a annoncé la plus grande violation de données de son histoire, qui a compromis les informations personnelles de près de 500 millions de personnes. Les données exposées comprenaient les noms, dates de naissance, numéros de téléphone, informations de carte de crédit et numéros de passeport.
Selon Marriott, une partie non autorisée avait accès aux bases de données des propriétés Starwood depuis 2014 . Deux ans plus tard, Marriott a acquis Starwood et ses chaînes hôtelières, notamment St. Regis, Westin, Sheraton, Alof, Le Meridien, Four Points et W Hotels. Le8 septembre 2018, le service de sécurité interne de Marriott a découvert que des pirates informatiques avaient accédé à la base de données de réservations de Starwood, crypté les données des clients et tenté de les supprimer. Marriott n'a découvert l'ampleur de la violation qu'après avoir réussi à décrypter les informations début novembre. En réponse, Marriott offre gratuitement pendant un an une protection d'identité et une surveillance du crédit aux clients concernés. Marriott a également accepté de prendre en charge le remplacement des passeports de tous les clients victimes de fraude.
Cette violation a déjà affecté la réputation et les résultats financiers de Marriott. Immédiatement après l'annonce de la violation, le cours de l'action Marriott a chuté de 6 % (perdant près de 20 millions de dollars), et les législateurs fédéraux n'ont pas tardé à critiquer les politiques de sécurité de l'entreprise. Le sénateur Ron Wyden, de l'Oregon, a été l'un des détracteurs les plus virulents, qualifiant de « inutile » la solution proposée par Marriott pour surveiller le crédit des clients concernés et affirmant que « tant que des entreprises comme Marriott ne seront pas menacées d'amendes de plusieurs milliards de dollars et de peines de prison pour leurs cadres supérieurs, elles ne prendront pas la confidentialité au sérieux ». Le sénateur Wyden est rejoint par le sénateur Ed Markey du Massachusetts pour utiliser la violation de Marriott afin de réclamer une action législative complète visant à protéger la vie privée et les données des consommateurs.
La violation de données subie par Marriott illustre parfaitement comment les fusions et acquisitions peuvent exposer les entreprises à des cyberrisques. Quarante pour cent des entreprises acquéreuses découvrent un problème informatique chez l'entreprise cible après la conclusion de la transaction. Lors de l'évaluation et de l'atténuation des risques liés aux tiers, il est essentiel de prendre en compte l'impact que les différentes activités commerciales des fournisseurs peuvent avoir sur l'entreprise. Dans le cadre de ses services de surveillance continue, Prevalent suit ce type d'activités commerciales et alerte ses clients en cas de risques spécifiques.
Prevalent propose une gamme complète d'outils permettant de réduire les risques liés aux tiers et d'aider les industries à respecter les exigences de conformité. Grâce à la combinaison d'une surveillance continue, d'évaluations des risques et du partage d'informations sur les fournisseurs, les clients de Prevalent peuvent identifier les menaces potentielles avant qu'elles ne se concrétisent et réduire considérablement les risques pesant sur leurs données.
Pour en savoir plus sur Prevalent, regardez notre vidéo de deux minutes.
Fatima Mahmood est stagiaire en analyse du renseignement open source chez Prevalent. Elle vient d'obtenir un double diplôme en justice pénale et en études arabes à l'université du Maryland, à College Park.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
