Note de l'éditeur : Ce blog est le troisième d'une série qui examine les causes et les effets des violations de données très médiatisées liées à des tiers au cours de la dernière décennie. Ne manquez pas de consulter le blog Risk Register pour connaître les prochains épisodes de cette série !
Lorsque Marriott a acquis Starwood en 2016, la société a hérité d'une plateforme de système de réservation compromise qui a entraîné des poursuites judiciaires et des atteintes à la réputation après l'annonce de la brèche en 2018. Ce blog passe en revue le contexte de la violation de Marriott, les méthodes utilisées par les attaquants, ce qui est arrivé aux données, l'impact de la violation sur Marriott et les leçons que les praticiens tiers peuvent en tirer.
Lorsque Marriott a acquis Starwood en 2016, ignorant que des acteurs malveillants avaient un accès direct aux réseaux et systèmes de Starwood depuis 2014.Les attaquants ont maintenu leur accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la brèche en 2018. Les acteurs malveillants ont volé les noms, adresses, numéros de téléphone, dates de naissance, adresses électroniques, détails cryptés des cartes de crédit, numéros de passeport et historiques de voyage des invités.
Les acteurs malveillants ont utilisé un cheval de Troie d'accès à distance (RAT). Un RAT est un logiciel malveillant qui permet à un acteur malveillant d'accéder à distance à l'ordinateur d'une cible. Les attaquants ont également utilisé un outil open-source appelé Mimikatz, qui recherche les informations d'identification de l'utilisateur dans la mémoire d'un appareil ou d'un système. Ces deux outils ont été utilisés pour maintenir l'accès aux systèmes piratés, se déplacer latéralement dans le réseau et augmenter les privilèges sur les systèmes compromis.
Cyber les experts en sécurité pensent que des acteurs étatiques sont responsables de la brèche. Cependant, au début de 2019, les informations volées n'avaient pas encore été trouvées en vente sur le dark web. La grande quantité de données compromises serait utile aux agences de renseignement étrangères, et ces agences ont la motivation et les ressources nécessaires pour à la fois compromettre Starwood et analyser l'ensemble de données volées. En mars 2019, le PDG de Marriott, Arne Sorenson, a déclaré devant une sous-commission du Sénat américain que Marriott n'avait pas encore déterminé qui était responsable de la violation.
Après la divulgation de la violation, le cours de l'action de Marriott a chuté de plus de 5 %. Plus récemment, l'action de l'entreprise a rebondi et ils n'ont pas été confrontés à des pertes de revenus importantes. Cependant, en juillet 2019, le bureau du commissaire à l'information (ICO) a publié un avis de son intention d'infliger à Marriott International une amende de 99 200 396 £ (123 millions de dollars) en vertu du nouveau règlement général sur la protection des données (GDPR).
En outre, de multiples recours collectifs ont été intentés contre Marriott. L'une des allégations est que Marriott n'a pas fait preuve de la diligence requise en examinant le dispositif de cybersécurité de Starwood au cours du processus d'acquisition. L'action en justice allègue que, si Marriott l'avait fait, la violation de données aurait été découverte avant l'absorption de Starwood par Marriott. À ce jour, les poursuites sont toujours en cours.
Les professionnels de la gestion des risques peuvent tirer de nombreux enseignements de la violation de Marriott. Le plus important est que, dans le cadre du processus de fusion et d'acquisition, Marriott aurait dû procéder à un contrôle préalable plus approfondi des contrôles internes et des politiques de sécurité de Starwood afin de déterminer comment ils ont permis à des tiers d'accéder à leurs systèmes, et comment cela aurait pu exposer Starwood. Cela peut toutefois s'avérer difficile, car il y a généralement une visibilité limitée et un manque de renseignements centralisés sur la santé commerciale d'une cible d'acquisition.
Prevalent est unique en ce sens que nous combinons des évaluations automatisées des fournisseurs et une surveillance continue des menaces sur une seule et même plateforme, ce qui permet d'avoir une vue à 360 degrés des fournisseurs. Le résultat est la visibilité dont vous avez besoin pour révéler, interpréter et atténuer les risques.
Avec l'augmentation de l'activité réglementaire liée à la sécurité de l'information, le tollé des consommateurs concernant les violations de données et la complexité croissante du paysage des risques commerciaux, les répercussions juridiques et financières résultant des violations commises par des tiers vont continuer à augmenter. Avec les bonnes mesures en place, les praticiens de la gestion des risques liés aux tiers peuvent éviter que le nom de leur entreprise ne fasse la une des journaux.
Pour en savoir plus sur la manière dont Prevalent peut vous aider à gérer les risques complexes liés aux tiers, contactez-nous dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024