La compagnie hôtelière est à nouveau victime d’une violation des données de ses clients. Marriott a subi entre mi-janvier et fin février une cyberattaque, lors de laquelle ont été compromises les données de 5,2 millions de ses clients.
Fin 2018, Starwood, chaîne hotellière propriété du géant Marriott, était victime d’une cyberattaque lors de laquelle étaient compromises les données de 383 millions de clients. Les hackers étaient repartis du SI de l’hôtelier avec 18,5 millions de numéros de passeport chiffrés et 5,25 millions de numéros de passeport non chiffrés, ainsi que 9,1 millions de numéros de cartes de paiement chiffrés, dont environ 385000 n'étaient pas expirées en septembre 2018, date de découverte de l’intrusion.
L’affaire, par son ampleur, avait fait grand bruit et l’été dernier l’ICO a démarré une enquête. Le gendarme britannique des données personnelles estime en effet que « Marriott n’avait pas fait preuve de la diligence requise lorsqu’il a racheté Starwood et qu’il aurait dû en faire plus pour sécuriser ses systèmes » et entend lui infliger une amende de 100 millions de livres.
Les récents événements ne plaideront pas en faveur du géant de l’hôtellerie. Marriott a annoncé hier avoir été victime d’une nouvelle cyberattaque. Fin février l’entreprise remarque qu’un important volume d’informations clients avait été consulté depuis les comptes de deux employés d’un établissement franchisé. Leurs informations d’identification avaient de toute évidence été compromises. « La société estime que cette activité a commencé à la mi-janvier 2020. Dès sa découverte, la société a confirmé que les informations de connexion étaient désactivées, a immédiatement commencé une enquête, mis en place une surveillance renforcée et organisé des ressources pour informer et aider les clients ».
Jamais deux sans trois
Au stade actuel de l’enquête, Marriott estime qu’ont fuité les données de 5,2 millions de ses clients mais qu’elles ne comprennent pas « des mots de passe, des informations de carte de paiement, des informations de passeport, des identifiants nationaux ou des numéros de permis de conduire ». Par contre, coordonnées personnelles, informations sur la carte de fidélité de Marriott, des ses partenaires et affiliés, ont été dérobés.
Marriott n’en dit pas plus pour l’heure, mais avertit qu’il a souscrit une assurance couvrant les cyberattaques, « proportionnelle à sa taille et à la nature de ses opérations, et la société travaille avec ses assureurs pour évaluer la couverture ». Si Marriott indique ne pas penser que les coûts totaux liés à cet incident seront importants, il lui faudra également composer avec d’éventuelles sanctions infligées par les régulateurs. Des sanctions dont la couverture par des cyberassurances font débat dans le milieu.