La violation a eu lieu en 2014, mais elle n'a été découverte qu'en 2018, lorsqu'un outil de sécurité interne a détecté une tentative suspecte d'accéder à la base de données interne de réservation des clients pour les marques Starwood de Marriott . Starwood Hotels a été acquis par Marriott en 2016, ajoutant 11 nouvelles marques aux 19 actifs initiaux de Marriott International.

L'alerte de sécurité interne a déclenché une enquête qui a découvert que le réseau Starwood avait été compromis en 2014, avant l'acquisition. Starwood n'avait pas migré le système de réservation de Mariott en 2018 ; Les marques Starwood utilisaient toujours une infrastructure informatique héritée, ce qui a contribué à l'étendue et à l'ampleur de la violation de données.

Au cours de son enquête interne, Marriott a découvert que des pirates avaient chiffré des données et les avaient supprimées du système Starwood. Ces informations comprenaient des informations provenant de jusqu'à 500 millions d'enregistrements d'invités - bien que certains de ces enregistrements soient des doublons. Lorsqu'ils ont annoncé la violation, Marriott a déclaré que les pirates avaient volé des informations sur les clients , notamment "un nom, une adresse postale, un numéro de téléphone, une adresse e-mail, un numéro de passeport, des informations sur le compte Starwood Preferred Guest ("SPG"), la date de naissance, le sexe, l'arrivée et les informations de départ, la date de réservation et les préférences de communication. Pour certains de ces clients, les données des cartes de paiement ont également été volées, mais Marriott n'a pas précisé pour combien.

Les détails réels de l'attaque deviennent assez techniques, mais certaines pratiques commerciales et culturelles chez Starwood expliquent à quel point il était facile pour un mauvais acteur d'accéder à autant de dossiers d'invités.

L'expert en cybersécurité de Crowdstrike, Ryan Cornateanu, a déclaré à Hotel Tech Report : «L'attaque contre Marriott a été malheureuse et un point d'entrée populaire pour les adversaires est l'usurpation d'e-mails. Cette tactique est utilisée dans le phishing afin d'introduire des logiciels malveillants sur un réseau cible pour ensuite se déplacer latéralement sur tous les systèmes. À partir de là, les pirates peuvent exploiter les numéros de compte, les numéros de permis de conduire et d'autres informations sensibles des programmes de fidélité et des systèmes de réservation. La réglementation générale sur la protection des données a largement contribué à protéger les consommateurs, mais il n'y a pas grand-chose à faire lorsqu'un pirate est capable de sécuriser les identifiants de connexion ou d'accéder directement aux serveurs. »

Starwood était connu pour avoir un système de réservation non sécurisé ; une attaque distincte en 2015 a compromis les données et n'a pas été détectée pendant huit mois . Marriott a ensuite aggravé le problème en licenciant le personnel informatique de Starwoods lors de l'acquisition en 2016. Le manque de personnel a empêché Marriott d'intégrer rapidement les propriétés hôtelières nouvellement ajoutées dans son propre système de réservation interne. Le système de réservation des clients déjà non sécurisé de Starwood a donc « boité, ressemblant à un zombie, infecté par des logiciels malveillants, piraté par des pirates et sans beaucoup de continuité des soins, pendant encore deux ans avant que la brèche ne soit finalement découverte », rapporte le CSO . En ligne .

Quant à la question de savoir qui a piraté Marriott, cette réponse est encore plus compliquée. Le New York Times et le Washington Post ont rapporté que l'attaque faisait partie d'un effort de collecte de renseignements parrainé par l'État au nom du gouvernement chinois. Les modèles dans le code ainsi que la méthode d'attaque font écho aux techniques précédemment employées par les pirates chinois, et aucun des enregistrements d'invités n'a été mis en vente sur le dark web - un indice qu'il ne s'agissait pas d'un piratage à but lucratif.

Financièrement, Marriott a fait face à des sanctions importantes à la suite de cette violation de données. Plusieurs recours collectifs ont été déposés contre la marque ciblant le manquement de Marriott à effectuer sa diligence raisonnable sur les systèmes informatiques de Starwood. En plus des poursuites, Marriott a accepté de payer le remplacement des passeports des clients victimes de la violation de données.

Par ailleurs, l' Information Commissioner's Office (ICO) du Royaume-Uni, un organisme de surveillance des droits des consommateurs, a infligé une amende de 23,8 millions de dollars à Marriott (en baisse par rapport à l'amende initiale de 123 millions de dollars) pour non-respect des normes de sécurité requises par le RGPD . L' ICO fait valoir que Marriott n'a pas "mis en place les mesures techniques ou organisationnelles appropriées" lors du traitement des données, bien qu'il ait également reconnu que Marriott a depuis pris les mesures appropriées pour améliorer la sécurité. Notamment, l'amende initiale de 123 millions de dollars aurait été l'une des sanctions les plus importantes infligées en vertu du RGPD, représentant environ 3 % du chiffre d'affaires total de Marriott .

Il est vrai que financièrement, Marriott survivra probablement à cette violation de données. Les scores de satisfaction des clients ont cependant chuté en 2019 , amenant la marque à égalité avec Hilton et suggérant que la violation pourrait nuire à plus long terme à la fidélité des clients. Des études montrent que près d'un quart des Américains cesseront de faire affaire avec une entreprise qui a été piratée, tandis que plus de deux personnes sur trois font moins confiance à une entreprise après une violation de données.

En fin de compte, les indépendants sont beaucoup plus sûrs que les marques car ils ont un butin moins attrayant pour les pirates. Moins de butin signifie moins d'incitation. De plus, les indépendants travaillent souvent avec les meilleurs fournisseurs de technologies plutôt que d'essayer de développer des systèmes en interne. Ces fournisseurs sont soutenus par des entreprises et prennent de grandes mesures pour assurer la sécurité des données. Les hôteliers doivent rechercher des fournisseurs de logiciels qui respectent des normes rigoureuses en ce qui concerne les cadres réglementaires modernes tels que la conformité SOC-2 , GDPR, PSD2 et PCI .

Mais encore, même parmi les indépendants - l'industrie hôtelière est une cible attrayante pour les pirates. Il existe une énorme quantité d'informations personnellement identifiables collectées par les hôtels, et souvent des protocoles de sécurité obsolètes ou peu nombreux protégeant ces précieuses données. Il n'est pas exclu que votre hôtel soit la cible d'une cyberattaque à l'avenir : cependant, il est crucial d'éviter les erreurs commises par Marriott en ne trouvant pas la brèche pendant quatre ans.

La première priorité de l'équipe informatique de tout hôtel devrait être de crypter les données des clients et de configurer des alertes pour avertir immédiatement en cas de violation potentielle de la sécurité. L'informatique héritée doit être mise à jour ; Assurez-vous que la dernière version de votre logiciel est installée sur tous les appareils. Les mises à jour de sécurité contiennent souvent des correctifs et de nouveaux correctifs qui évoluent avec le paysage des menaces. Et ayez un plan pour communiquer avec les clients dès que vous sentez qu'il y a eu une infraction. La question ne devrait pas être "si" il y aura une cyberattaque - mais quand.