RGPD : Marriott International écope d’une sanction de 18,4 millions de livres
Le 02 novembre 2020 à 08h45
2 min
Droit
Droit
Selon les dernières estimations, 339 millions de données clients ont été touchées par une cyberattaque en 2014 contre Starwood Hotels et Resorts Worldwide, deux de ses entités depuis septembre 2018.
Ce n’est qu’après cet achat que Marriott a remarqué cette fuite qui a drainé des noms, adresses e-mail, numéros de téléphone, numéros de passeport non chiffrés et des informations sur l’arrivée et le départ des clients.
L'enquête, indique l’ICO, « a révélé que Marriott n'avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles sur ses systèmes, comme l'exige le règlement général sur la protection des données (RGPD) ». Les faits se sont déroulés avant le Brexit, mais pour partie après l’entrée en application du RGPD.
Le montant de l’amende a été fixé à 18,4 millions de livres, soit plus de 20 millions d’euros. Il pouvait être beaucoup plus important, mais a été adapté au regard des mesures prises depuis par l’entreprise pour protéger ce capital informationnel.
Le 02 novembre 2020 à 08h45
Commentaires (1)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/11/2020 à 11h08
Ce qui est intéressant d’après la décision (et si je ne me trompe pas) c’est que le pirate se serait installé en 2014 (depôt de la backdoor) et serait resté tranquille jusqu’en 2018 (jusqu’à ce que la fuite de données soit détectée) un bel exemple d’APT …
Quand aux mesures technique : du MFA mais pas déployé partout (ils n’ont pas été aligné directement la dessus ceci dit), monitoring des utilisateurs privilégiés insuffisants, monitoring des bases de données insuffisants et bien sur du chiffrement qui n’est pas systématiquement déployé…
Il n’y a pas eu beaucoup de décisions portant sur le sujet du monitoring il me semble, c’est un bel exemple de l’importance du sujet (et on sait comme c’est compliqué d’expliquer a des populations IT que e monitoring de sécurité est tout aussi important a déployer que toutes les autres mesures)
Affaire a suive !