La violation de données de Marriott/Starwood : Pourquoi la gestion des risques liés aux tiers est essentielle lors des fusions et acquisitions

Note de l'éditeur : Ce blog est le troisième d'une série qui examine les causes et les effets des violations de données très médiatisées liées à des tiers au cours de la dernière décennie. Ne manquez pas de consulter le blog Risk Register pour connaître les prochains épisodes de cette série !

Lorsque Marriott a acquis Starwood en 2016, la société a hérité d'une plateforme de système de réservation compromise qui a entraîné des poursuites judiciaires et des atteintes à la réputation après l'annonce de la brèche en 2018. Ce blog passe en revue le contexte de la violation de Marriott, les méthodes utilisées par les attaquants, ce qui est arrivé aux données, l'impact de la violation sur Marriott et les leçons que les praticiens tiers peuvent en tirer.

Historique des violations de données

Lorsque Marriott a acquis Starwood en 2016, ignorant que des acteurs malveillants avaient un accès direct aux réseaux et systèmes de Starwood depuis 2014.Les attaquants ont maintenu leur accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la brèche en 2018. Les acteurs malveillants ont volé les noms, adresses, numéros de téléphone, dates de naissance, adresses électroniques, détails cryptés des cartes de crédit, numéros de passeport et historiques de voyage des invités.

Méthodes utilisées

Les acteurs malveillants ont utilisé un cheval de Troie d'accès à distance (RAT). Un RAT est un logiciel malveillant qui permet à un acteur malveillant d'accéder à distance à l'ordinateur d'une cible. Les attaquants ont également utilisé un outil open-source appelé Mimikatz, qui recherche les informations d'identification de l'utilisateur dans la mémoire d'un appareil ou d'un système. Ces deux outils ont été utilisés pour maintenir l'accès aux systèmes piratés, se déplacer latéralement dans le réseau et augmenter les privilèges sur les systèmes compromis.

Qu'est-il arrivé aux données ?

Cyber les experts en sécurité pensent que des acteurs étatiques sont responsables de la brèche. Cependant, au début de 2019, les informations volées n'avaient pas encore été trouvées en vente sur le dark web. La grande quantité de données compromises serait utile aux agences de renseignement étrangères, et ces agences ont la motivation et les ressources nécessaires pour à la fois compromettre Starwood et analyser l'ensemble de données volées. En mars 2019, le PDG de Marriott, Arne Sorenson, a déclaré devant une sous-commission du Sénat américain que Marriott n'avait pas encore déterminé qui était responsable de la violation.

Comment la brèche a affecté le Marriott

Après la divulgation de la violation, le cours de l'action de Marriott a chuté de plus de 5 %. Plus récemment, l'action de l'entreprise a rebondi et ils n'ont pas été confrontés à des pertes de revenus importantes. Cependant, en juillet 2019, le bureau du commissaire à l'information (ICO) a publié un avis de son intention d'infliger à Marriott International une amende de 99 200 396 £ (123 millions de dollars) en vertu du nouveau règlement général sur la protection des données (GDPR).

En outre, de multiples recours collectifs ont été intentés contre Marriott. L'une des allégations est que Marriott n'a pas fait preuve de la diligence requise en examinant le dispositif de cybersécurité de Starwood au cours du processus d'acquisition. L'action en justice allègue que, si Marriott l'avait fait, la violation de données aurait été découverte avant l'absorption de Starwood par Marriott. À ce jour, les poursuites sont toujours en cours.

Ce que les praticiens de la gestion des risques liés aux tiers peuvent apprendre de la violation du contrat Marriott

Les professionnels de la gestion des risques peuvent tirer de nombreux enseignements de la violation de Marriott. Le plus important est que, dans le cadre du processus de fusion et d'acquisition, Marriott aurait dû procéder à un contrôle préalable plus approfondi des contrôles internes et des politiques de sécurité de Starwood afin de déterminer comment ils ont permis à des tiers d'accéder à leurs systèmes, et comment cela aurait pu exposer Starwood. Cela peut toutefois s'avérer difficile, car il y a généralement une visibilité limitée et un manque de renseignements centralisés sur la santé commerciale d'une cible d'acquisition.

Prevalent est unique en ce sens que nous combinons des évaluations automatisées des fournisseurs et une surveillance continue des menaces sur une seule et même plateforme, ce qui permet d'avoir une vue à 360 degrés des fournisseurs. Le résultat est la visibilité dont vous avez besoin pour révéler, interpréter et atténuer les risques.

Avec l'augmentation de l'activité réglementaire liée à la sécurité de l'information, le tollé des consommateurs concernant les violations de données et la complexité croissante du paysage des risques commerciaux, les répercussions juridiques et financières résultant des violations commises par des tiers vont continuer à augmenter. Avec les bonnes mesures en place, les praticiens de la gestion des risques liés aux tiers peuvent éviter que le nom de leur entreprise ne fasse la une des journaux.

Pour en savoir plus sur la manière dont Prevalent peut vous aider à gérer les risques complexes liés aux tiers, contactez-nous dès aujourd'hui.