"Nous n'avons pas été à la hauteur de ce que nos clients méritent et de ce que nous attendons de nous-mêmes. Nous faisons tout ce qui est en notre pouvoir pour soutenir nos clients et nous utilisons les leçons apprises pour nous améliorer à l'avenir."
Arne Sorenson, président-directeur général de Marriott
La violation de la sécurité des données récemment annoncée par Marriot est une leçon de cybersécurité pour tous.
Le défi relevé par l'organisation pour faire face à ce qui s'est passé, restaurer sa crédibilité et prendre des mesures rapides pour éviter une autre violation devrait être un signal d'alarme pour toutes les entreprises, quel que soit leur secteur d'activité.
Les premiers détails suggèrent que des clés de chiffrement ont été volées en même temps que des informations sur les cartes de crédit. Ce qui est encore plus inquiétant, ce sont les politiques et les pratiques inadéquates de Starwood en matière de gestion des clés de cryptage. L'absence de détection de la violation (et le fait qu'elle dure depuis quatre ans sous l'égide de Starwood) n'est rien moins qu'alarmante.
Il ne fait aucun doute que Marriott International a mis en place des politiques et des procédures destinées à protéger les données et à détecter les anomalies malveillantes. Cette violation des données de Starwood suggère soit une cyberattaque initiée en interne, soit une cyberattaque résultant du détournement des informations d'identification élevées d'un utilisateur.
Bien que pénible, cet incident nous rappelle que la sécurité est aujourd'hui au cœur de toute entreprise numérique.
1. Stockage de données du bon sens
Première leçon : les informations relatives aux paiements ne doivent jamais être stockées avec des données relatives aux non-paiements.
La meilleure analogie est de ranger vos clés, votre passeport et votre argent côte à côte lorsque vous voyagez. Vous augmentez la probabilité que tout ce qui est vraiment important soit volé d'un seul coup.
Si Starwood n'a pas utilisé les meilleures pratiques pour stocker et protéger correctement les clés de chiffrement, il pourrait s'agir d'une violation beaucoup plus importante que celle qui a été signalée à l'origine.
2. La diligence raisonnable ne se limite pas à la comptabilité
Marriott a racheté la marque Starwood en 2016. Le fait que cette violation dure depuis 2014 suggère que le problème n'a pas été découvert au cours du processus de fusion et d'acquisition.
Starwood était une marque suffisamment importante pour disposer d'un processus de sécurité numérique mature. Des signaux d'alarme ont-ils été manqués ? Les lacunes en matière de sécurité n'étaient-elles pas connues de Starwood ?
Ou peut-être la question de la sécurité numérique n'a-t-elle même pas été abordée au moment de l'acquisition ?
Il est essentiel de comprendre l'état actuel du programme de sécurité numérique d'une entreprise () pour s'assurer de ne pas payer trop cher une entreprise qui n'a pas suffisamment investi dans la réduction des risques.
La conformité est un élément important de l'évaluation de la qualité des actifs et de la responsabilité lors d'un regroupement d'entreprises. La rigueur en matière de sécurité devrait jouer un rôle
3. Se préparer à une conformité et une complexité réglementaires accrues
Il existe un grand nombre de bonnes pratiques et de lignes directrices que les entreprises doivent prendre en compte lorsqu'elles planifient et mettent en œuvre des pratiques de sécurité numérique.
Mais ces concepts ne garantissent pas la conformité, ce sont les réglementations qui le font.
Les organisations commenceront sans aucun doute à faire l'objet d'une surveillance accrue et d'audits potentiels sur la manière dont les clés de sécurité numérique sont gérées. Il ne suffira plus d'affirmer que les données doivent être cryptées ou de définir les algorithmes à utiliser.
Les entreprises doivent être prêtes à prouver que les clés sont gérées efficacement et stockées en toute sécurité, du berceau à la tombe et à tout moment entre les deux. Les organismes de conformité et les organismes de normalisation commenceront à chercher à ajouter ce critère et les entreprises devront être prêtes à réagir lorsque de nouvelles normes seront introduites.
En outre, cet incident présente tous les éléments nécessaires pour devenir le cas emblématique de la GDPR. Marriott est une entreprise internationale qui dispose d'une importante base d'opérations dans l'UE.
Au-delà des sanctions financières, les retombées pourraient conduire à des restrictions encore plus importantes et avoir un impact sur les réglementations en matière de protection de la vie privée et sur la législation future aux États-Unis.
4. La crédibilité de la marque est essentielle
La gestion de crise est quelque chose que l'on planifie, mais on ne sait jamais vraiment à quoi elle va ressembler jusqu'à ce que quelque chose se produise.
La marque Marriott existe depuis 1927 et s'est transformée en la marque hôtelière qu'elle est aujourd'hui en 1957. Elle a passé des décennies à se forger une réputation de confiance qui, en l'espace de quelques instants, a été mise à mal.
Seul le temps nous dira à quelle vitesse les mécènes pardonneront. Il est peu probable qu'ils oublient un jour.
Poursuites judiciaires, intervention du gouvernement, méfiance des clients ... et n'oubliez pas qu'ils ont aussi une division de cartes de crédit. Marriott fera parler d'elle dans les années à venir, nous rappelant sans cesse les difficultés qu'elle a rencontrées à cause d'un programme de sécurité numérique potentiellement médiocre.
5. Les "données personnelles", c'est tout simplement cela : Des données personnelles
Les entreprises utilisent les données pour personnaliser l'expérience de leurs clients. Et cela fonctionne... lorsque les données sont recueillies avec le consentement du client et que celui-ci a manifesté un certain intérêt.
Réfléchissez à la profondeur de ce phénomène : les données dont disposent ces pirates vont au-delà des préférences d'achat.
Il peut s'agir des lieux où ces voyageurs se sont rendus, des chambres qu'ils aiment, de la nourriture qu'ils ont mangée, des noms et des données des autres membres de la famille qui ont voyagé avec eux. Les dates d'anniversaire, les mots de passe, et même les habitudes des personnes qui voyagent pour des raisons professionnelles et qui ne sont pas chez elles. Du point de vue de la sécurité nationale, les numéros de passeport et d'autres informations pourraient être vendus à des nations adverses.
Cela semble tiré par les cheveux, mais ce nouveau monde dans lequel nous vivons comporte des menaces dont nous ne sommes même pas encore conscients.
Cette violation aurait pu concerner n'importe quelle entreprise. Les cyberattaquants sont de plus en plus sophistiqués et il est impossible de prévoir les menaces à venir et de prévenir toutes les violations. Il existe toutefois des mesures à prendre pour rendre la tâche plus difficile, par exemple en veillant à ce que chaque actif soit couvert par une identité numérique et à ce que les appareils dans lesquels vous investissez intègrent la sécurité dès leur conception.
En investissant dans les bonnes choses, on peut réduire la probabilité d'une violation tout en réduisant l'impact négatif d'une telle violation lorsqu'elle se produit.
