RGPD : Marriott International écope d’une sanction de 18,4 millions de livres
Le 02 novembre 2020 à 08h45
2 min
Droit
Droit
Selon les dernières estimations, 339 millions de données clients ont été touchées par une cyberattaque en 2014 contre Starwood Hotels et Resorts Worldwide, deux de ses entités depuis septembre 2018.
Ce n’est qu’après cet achat que Marriott a remarqué cette fuite qui a drainé des noms, adresses e-mail, numéros de téléphone, numéros de passeport non chiffrés et des informations sur l’arrivée et le départ des clients.
L'enquête, indique l’ICO, « a révélé que Marriott n'avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles sur ses systèmes, comme l'exige le règlement général sur la protection des données (RGPD) ». Les faits se sont déroulés avant le Brexit, mais pour partie après l’entrée en application du RGPD.
Le montant de l’amende a été fixé à 18,4 millions de livres, soit plus de 20 millions d’euros. Il pouvait être beaucoup plus important, mais a été adapté au regard des mesures prises depuis par l’entreprise pour protéger ce capital informationnel.
Le 02 novembre 2020 à 08h45
Commentaires (1)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 02/11/2020 à 11h08
Ce qui est intéressant d’après la décision (et si je ne me trompe pas) c’est que le pirate se serait installé en 2014 (depôt de la backdoor) et serait resté tranquille jusqu’en 2018 (jusqu’à ce que la fuite de données soit détectée) un bel exemple d’APT …
Quand aux mesures technique : du MFA mais pas déployé partout (ils n’ont pas été aligné directement la dessus ceci dit), monitoring des utilisateurs privilégiés insuffisants, monitoring des bases de données insuffisants et bien sur du chiffrement qui n’est pas systématiquement déployé…
Il n’y a pas eu beaucoup de décisions portant sur le sujet du monitoring il me semble, c’est un bel exemple de l’importance du sujet (et on sait comme c’est compliqué d’expliquer a des populations IT que e monitoring de sécurité est tout aussi important a déployer que toutes les autres mesures)
Affaire a suive !