La violation de données de Marriott souligne l'importance d'examiner minutieusement les politiques de sécurité des données lors d'un processus de fusion et d'acquisition

La ligne toujours croissante des violations de données d'entreprises s'est allongée la semaine dernière, puisque Marriott International a révélé avoir été la dernière victime d'une attaque massive cyber-attack. Le vendredi³⁰ novembre 2018, Marriott a annoncé la plus grande violation de données de son histoire qui a compromis les informations personnelles de près de 500 millions de personnes. Les données exposées comprenaient des noms, des dates de naissance, des numéros de téléphone, des informations sur les cartes de crédit et des numéros de passeport.

Selon Marriott, une partie non autorisée avait accès aux bases de données des propriétés Starwood depuis 2014 . Deux ans plus tard, Marriott a acquis Starwood et ses chaînes hôtelières, notamment St. Regis, Westin, Sheraton, Alof, Le Meridien, Four Points et W Hotels. Le⁸ septembre 2018, la sécurité interne de Marriott a découvert que des pirates avaient accédé à la base de données de réservation de Starwood, crypté les données des clients et tentaient de les supprimer. Marriot n'a découvert l'ampleur de la brèche qu'une fois qu'ils ont pu décrypter les informations, début novembre. En réponse, Marriott offre gratuitement une protection de l'identité et une surveillance du crédit pendant un an aux clients concernés. Marriott a également accepté de payer le remplacement des passeports des clients victimes de fraude.

La violation a déjà affecté la réputation et les résultats de Marriott. Immédiatement après l'annonce de la violation, le cours de l'action de Marriott a chuté de 6 % (perdant près de 20 millions de dollars), et les législateurs fédéraux ont rapidement critiqué les politiques de sécurité de l'entreprise. Le sénateur Ron Wyden de l'Oregon a été l'un des critiques les plus virulents, qualifiant d'"inutile" la solution de Marriott consistant à surveiller le crédit des clients concernés et affirmant que "tant que des entreprises comme Marriott ne ressentiront pas la menace d'amendes de plusieurs milliards de dollars et de peines de prison pour leurs cadres supérieurs, elles ne prendront pas la protection de la vie privée au sérieux". Le sénateur Wyden est rejoint par le sénateur Ed Markey, du Massachusetts, qui profite de la violation de Marriott pour appeler à une action législative globale visant à protéger la vie privée et les données des consommateurs.

La violation des données de Marriott illustre comment les fusions et acquisitions peuvent introduire le risque cyber dans les organisations. Quarante pour cent des entreprises acquéreuses découvrent un problème lié à cyber avec l'entreprise cible après la conclusion de la transaction. Lors de l'évaluation et de l'atténuation des risques liés aux tiers, il est essentiel de tenir compte de l'impact que peuvent avoir sur l'organisation les diverses activités commerciales de ses fournisseurs. Dans le cadre de nos services de surveillance continue, Prevalent suit ces types d'activités commerciales et alerte les clients sur les risques spécifiques.

Prevalent offre une gamme complète d'outils pour réduire les risques liés aux tiers et aider les industries à répondre aux exigences de conformité. En combinant la surveillance continue, les évaluations des risques et le partage des informations sur les fournisseurs, les clients de Prevalent peuvent identifier les menaces potentielles avant qu'elles ne se produisent et réduire considérablement les risques pour leurs données.

Pour en savoir plus sur Prevalent, regardez notre vidéo de deux minutes.

Fatima Mahmood est une analyste du renseignement de source ouverte stagiaire à Prevalent. Elle est récemment diplômée de l'Université du Maryland, College Park, avec un double diplôme en justice pénale et en études arabes.