Résumé
- Vérité opérationnelle héritée:L'intrus a pénétré l'environnement Starwood fin juillet 2014, plus de deux ans avant que Marriott ne finalise l'acquisition de Starwood le 23 septembre 2016. Marriott n'est pas à l'origine de la compromission initiale. Après la clôture, cependant, il contrôlait une entreprise dont le système de réservation encore opérationnel et les dossiers clients mondiaux devaient être gérés comme des actifs de Marriott, même si les réseaux hérités et ceux de Marriott restaient séparés.
- Chronologie et portée:Une alerte de surveillance de base de données a été générée le 7 septembre 2018 et remontée à Marriott le 8 septembre. Les enquêteurs ont trouvé un cheval de Troie d'accès à distance le 17 septembre, identifié des fichiers d'exportation chiffrés supprimés le 13 novembre, déchiffré deux fichiers le 19 novembre, notifié le régulateur britannique le 22 novembre et divulgué publiquement le 30 novembre. Le plafond initial de 500 millions de clients de Marriott est devenu une limite supérieure de 383 millions d'enregistrements, et les dossiers réglementaires ultérieurs ont fait état de 339 millions dans le monde; aucun de ces chiffres ne constitue un décompte précis de personnes uniques.
- Constatations relatives aux données et aux contrôles:Les combinaisons exposées comprenaient des coordonnées, des dates de naissance, des numéros de passeport, des données de fidélité, des informations de réservation et de séjour, ainsi que des données de cartes de paiement. Le Bureau du commissaire à l'information du Royaume-Uni (ICO) a établi quatre conclusions principales pour la seule période couverte par le RGPD: surveillance insuffisante des comptes privilégiés, surveillance insuffisante des bases de données, contrôle inadéquat des systèmes critiques et défaut de chiffrement de tous les numéros de passeport. Il n'a pas rendu de conclusions définitives au titre des articles 33 ou 34 du RGPD, et il a exclu de la sanction la couverture incomplète de l'authentification multifactorielle après avoir examiné les observations de Marriott.
- Responsabilité après l'application de la loi:L'ICO a infligé une amende de 18,4 millions de livres sterling en 2020. En 2024, les procureurs généraux des États ont conclu un accord de 52 millions de dollars et la Federal Trade Commission (FTC) a imposé une ordonnance de 20 ans couvrant la gouvernance de la sécurité, l'évaluation des entités acquises, la surveillance, l'accès, le renforcement, la cryptographie, la conservation des données et l'évaluation indépendante. Marriott n'a pas reconnu sa responsabilité dans le cadre de la procédure de l'ICO ni de l'accord multi-États. Ces limites procédurales sont importantes, mais elles n'atténuent pas la leçon opérationnelle: une acquisition clôt une transaction juridique; elle ne certifie pas la vérité de l'environnement acquis.
L'actif était une entreprise, une base de données et un historique de sécurité inachevé
Marriott a annoncé son accord pour acquérir Starwood le 16 novembre 2015. Quatre jours plus tard, Starwood a divulgué un incident distinct lié aux cartes de paiement affectant les systèmes de point de vente d'un nombre limité d'hôtels nord-américains. Le rapport annuel 2015 de Starwood indiquait que des logiciels malveillants avaient atteint les systèmes de point de vente des restaurants, boutiques de cadeaux et autres; il précisait qu'à ce moment-là, rien n'indiquait que les systèmes de réservation ou Starwood Preferred Guest étaient affectés. (Formulaire 10-K 2015 de Starwood)
Cette divulgation ne constituait pas un avis de l'intrusion dans la base de données de réservation annoncée ultérieurement par Marriott. Les deux événements concernaient des systèmes et des comptes publics différents. Cependant, elle indiquait que l'environnement de Starwood avait un historique de sécurité. La plainte de 2024 de la Federal Trade Commission (FTC) indique que la compromission des points de vente a duré environ 14 mois, a impliqué plus de 40 000 consommateurs et était liée à une segmentation inadéquate, des contrôles d'accès insuffisants, des logiciels non pris en charge et l'absence d'authentification multifactorielle. La même plainte indique que Marriott a examiné le programme de sécurité de l'information de Starwood pendant les dix mois séparant l'annonce de la clôture, y compris les défaillances liées à cette première brèche. Ces déclarations sont des allégations de la FTC dans une affaire de consentement, et non des conclusions issues d'un procès contesté. (plainte de la FTC)
Le récit de Marriott ajoute une contrainte importante. Dans un témoignage de 2019 devant une sous-commission du Sénat américain, l'ancien directeur général Arne Sorenson a déclaré que Marriott avait obtenu des informations sur la technologie de Starwood et évalué l'intégration pendant la période préalable à la clôture, mais que l'enquête était juridiquement et pratiquement limitée parce que les entreprises restaient concurrentes. Marriott a décidé de conserver sa propre plateforme de réservation et de retirer celle de Starwood. Le transfert de 1 270 hôtels sans perturber les réservations a pris deux ans, de sorte que le système Starwood a continué à fonctionner après la clôture, tandis que Marriott affirmait avoir investi dans des mesures de sécurité supplémentaires. (Témoignage de Sorenson au Sénat)
Les deux faits peuvent être vrais. L'accès avant la clôture peut être restreint, et un acheteur peut tout de même hériter d'un problème de contrôle actif. L'erreur consiste à considérer la diligence comme un certificat unique plutôt que comme un changement dans la charge de la preuve. Avant la clôture, l'acheteur demande ce qu'il peut légalement inspecter, ce que le vendeur déclare et quelles protections contractuelles il nécessite.
Après la clôture, le propriétaire peut revalider les identités privilégiées, inspecter la journalisation, rechercher la persistance, cartographier les exportations de bases de données, tester la segmentation, inventorier les méthodes cryptographiques et décider si un système hérité peut continuer à traiter des données personnelles. L'autorité change. Il en va de même pour les preuves.
Marriott a finalisé l'acquisition le 23 septembre 2016. Starwood est devenue une filiale indirecte à 100 %, et le groupe combiné décrivait près de 6 000 établissements, plus de 1,1 million de chambres et 30 marques dans 120 pays et territoires. (Formulaire 8-K d'acquisition de Marriott) L'échelle est pertinente non pas comme un spectacle, mais comme une carte des dépendances. Une base de données de réservation n'était pas une application bureautique périphérique. Elle reliait les hôtels, les centres de contact, les processus de fidélisation, les services aux clients et les dossiers de voyage à travers un système mondial de franchise et de gestion.
Le dossier public établit également un fait architectural étroit mais important. L'ICO a constaté que les systèmes auxquels l'attaquant a accédé restaient séparés du réseau plus large de Marriott. Il a déclaré que l'attaque n'avait pas donné accès aux données personnelles traitées uniquement sur des systèmes non-Starwood. La séparation a donc limité le rayon d'action. Elle n'a pas rendu l'environnement acquis sûr. Le côté Starwood est resté en production, et une séparation sans surveillance efficace peut conserver un intrus aussi facilement qu'elle en contient un.
Chronologie: l'entrée, la propriété, la détection et la divulgation sont des dates différentes
La brèche est souvent résumée par l'expression « accès non autorisé depuis 2014 ». Cette expression efface la séquence nécessaire à la responsabilité. Au moins six horloges comptent: l'intrusion initiale, l'acquisition par Marriott, le début de la couverture du RGPD, l'alerte, la confirmation que des données clients étaient impliquées et la divulgation publique.
Juin 2014 à 2015: un événement distinct lié aux cartes de paiement chez Starwood.La plainte ultérieure de la FTC décrit une intrusion de 14 mois au cours de laquelle un acteur a atteint le réseau de Starwood et installé des logiciels malveillants de vol de cartes de paiement dans plus de 100 établissements possédés ou gérés. Starwood a divulgué publiquement un événement de point de vente plus restreint au niveau des établissements en novembre 2015 et a déclaré que ses systèmes de réservation et de fidélité n'étaient pas considérés comme affectés. Cet événement antérieur est pertinent car il a placé les faiblesses du réseau dans le contexte de l'acquisition. Il ne doit pas être fusionné rétroactivement avec la brèche de la base de données de réservation comme si chaque fait ou consommateur affecté était le même.
28-29 juillet 2014: entrée dans l'environnement ultérieurement lié à la brèche de réservation.La plainte de la FTC situe la compromission d'un serveur web exposé à Internet le 28 juillet environ. L'avis de sanction de l'ICO indique qu'un shell web a été installé le 29 juillet sur un appareil prenant en charge une application utilisée par les employés de Starwood pour demander des modifications de contenu du site web. Le shell a permis un accès à distance et l'installation de chevaux de Troie d'accès à distance. Le décalage d'un jour reflète la précision de deux reconstitutions publiques, pas nécessairement une contradiction factuelle. La conclusion prudente est fin juillet 2014.
L'intrus a collecté des identifiants privilégiés et utilisateurs et s'est déplacé dans l'environnement Starwood. La FTC a allégué que des enregistreurs de frappe, des logiciels malveillants de capture de mémoire et des chevaux de Troie d'accès à distance sont finalement apparus sur plus de 480 systèmes répartis sur 58 sites d'entreprise, centres de données, centres de contact et hôtels. L'ICO a décrit l'utilisation de comptes légitimes, l'extraction d'identifiants avec Mimikatz et l'exportation de tables entières de bases de données dans des fichiers de vidage.
Aucun de ces documents ne publie le rapport d'enquête sous-jacent, la liste complète des hôtes affectés ou la vulnérabilité précise qui a initialement rendu le serveur exposé exploitable.
Novembre 2015: Marriott annonce l'accord; Starwood divulgue l'autre brèche.C'est le moment où le risque cyber hérité est devenu visible comme un problème transactionnel. Cela n'a pas révélé l'attaquant caché de la réservation. Cela a donné à l'acheteur une raison de considérer les assurances techniques, les déclarations de remédiation, la conformité des cartes de paiement et la segmentation du réseau comme des propositions nécessitant une vérification indépendante après le transfert de contrôle.
23 septembre 2016: Marriott finalise l'acquisition.L'intrus de la réservation était déjà présent. Marriott affirme avoir apporté des améliorations de sécurité tout en continuant à exploiter le système de Starwood en attendant la migration. L'ICO note que les deux réseaux sont restés séparés pendant la période concernée. La FTC a par la suite allégué que Marriott avait la responsabilité d'établir, d'examiner et de mettre en œuvre des pratiques de sécurité pour les deux entreprises après la clôture.
25 mai 2018: le RGPD devient applicable.Cette date définit la portée juridique de la décision de l'ICO. L'attaque avait commencé des années plus tôt, mais l'avis de sanction portait sur le traitement par Marriott du 25 mai au 17 septembre 2018. L'ICO a expressément indiqué qu'il ne formulait pas de constatation d'infraction pour la période entre l'acquisition et l'applicabilité du RGPD et n'a pas déterminé si une diligence plus approfondie avait été possible lors de la prise de contrôle. Cette limite est essentielle. L'ICO a utilisé le système hérité pour évaluer les obligations continues de Marriott en tant que responsable du traitement après l'entrée en vigueur du RGPD, et non pour inventer une responsabilité rétroactive au titre du RGPD pour des actes de 2014 ou 2016. (avis de sanction de l'ICO)
7-8 septembre 2018: une requête de comptage génère une alerte.Le 7 septembre, un compte administrateur a interrogé le nombre de lignes d'une table protégée de profils clients. IBM Guardium a généré une alerte. Accenture, qui gérait la base de données de réservation des clients de Starwood, a contacté l'équipe informatique de Marriott le 8 septembre. Marriott a appris que la personne dont les identifiants avaient été utilisés n'avait pas effectué la requête. L'alerte concernait une table surveillée car elle contenait des informations de cartes de paiement; l'ICO a indiqué que les autres tables ne contenant pas de données de cartes de paiement ne bénéficiaient pas d'alertes équivalentes.
Il s'agissait de la détection d'une action anormale, et non d'une connaissance immédiate de l'ensemble de la brèche. La requête a renvoyé un comptage, pas le contenu des lignes. La même date est devenue ultérieurement contestée dans l'analyse de l'ICO sur le moment où Marriott a eu connaissance d'une violation de données à caractère personnel aux fins de la notification prévue à l'article 33. Après avoir examiné les observations de Marriott, l'ICO n'a formulé aucune constatation finale d'infraction à l'article 33.
9-12 septembre: réponse à l'incident et poursuite de l'activité de l'attaquant.Marriott a invoqué son plan de réponse aux incidents de sécurité de l'information et de confidentialité vers le 9 ou 10 septembre et a fait appel à des enquêteurs externes le 10 septembre. L'ICO indique qu'une autre table liée aux passeports a été exportée dans un fichier de vidage ce jour-là. Le 12 septembre, Marriott a commencé à déployer une surveillance en temps réel et des outils d'investigation sur environ 70 000 appareils hérités de Starwood. Le fait qu'une exportation de données ait eu lieu après la première alerte est important; cela montre pourquoi la génération d'alertes, l'escalade vers les analystes, le confinement et l'éradication doivent être mesurés séparément.
15-18 septembre: identifiants, logiciel malveillant et escalade de gouvernance.Les enquêteurs ont identifié une activité non autorisée impliquant des identifiants d'employés d'Accenture depuis juillet. Ils ont trouvé un cheval de Troie d'accès à distance le 17 septembre et ont bloqué les adresses de commande et de contrôle. Sorenson a témoigné qu'il en avait été informé ce jour-là et que le conseil d'administration avait été notifié le 18 septembre. L'ICO a retenu le 17 septembre comme date de fin de la période d'infraction pour son analyse des sanctions, car c'est à ce moment-là que le RAT a été identifié et contenu, et non parce que toutes les questions d'investigation étaient résolues.
Octobre 2018: l'intrusion historique devient visible.Les enquêteurs ont identifié des preuves de Mimikatz et de logiciels malveillants de capture de mémoire et ont fait remonter la présence non autorisée à juillet 2014. Marriott a contacté le FBI le 29 octobre. À ce stade, selon le témoignage de l'entreprise au Sénat, les enquêteurs disposaient de preuves d'une longue intrusion, mais n'avaient pas encore trouvé de preuves que les données clients de la base de données de réservation avaient été consultées.
13-19 novembre: les fichiers supprimés deviennent la preuve de l'exportation de données clients.Le 13 novembre, les enquêteurs ont trouvé les traces de deux fichiers compressés, chiffrés et supprimés. Ils les ont déchiffrés le 19 novembre et y ont trouvé des exportations de tables de profils clients et de passeports. C'est à cette date que Marriott dit avoir déterminé que les fichiers contenaient des informations personnelles de la base de données de réservation des clients de Starwood. La distinction entre l'anomalie de septembre et la confirmation de novembre explique le délai d'enquête sans pour autant prouver que chaque décision de notification était opportune.
22-30 novembre: notification réglementaire et divulgation publique.Marriott a notifié l'ICO le 22 novembre. Elle a trouvé des preuves de copies supplémentaires de tables historiques les 25 et 26 novembre, a notifié les réseaux de cartes de paiement et diverses autorités, et a annoncé l'incident publiquement le 30 novembre. Son avis initial indiquait que la base de données se trouvait aux États-Unis et contenait des enregistrements relatifs à des réservations dans les établissements Starwood effectuées le 10 septembre 2018 ou avant. (Avis d'incident de novembre 2018 de Marriott)
18-31 décembre 2018: mise hors service.Sorenson a déclaré que Marriott avait cessé d'utiliser la base de données de réservation de Starwood pour ses activités opérationnelles le 18 décembre. La mise à jour de janvier de Marriott décrivait l'arrêt comme effectif à la fin de l'année. La mise hors service a mis fin à son rôle dans les réservations en direct, mais une mise hors service sécurisée nécessite également la gestion des copies, identifiants, clés, images d'investigation, sauvegardes et obligations de conservation légale. Le dossier public ne fournit pas un registre de destruction complet.
2019-2020: changements dans la portée et sanction finale au Royaume-Uni.Marriott a révisé ses chiffres en janvier et dans son rapport annuel. L'ICO a émis un avis d'intention en juillet 2019 proposant 99 200 396 £. Après les observations écrites de Marriott, la consultation avec d'autres autorités européennes, l'analyse des mesures d'atténuation et un ajustement lié à la COVID-19, la sanction finale était de 18,4 millions de livres sterling le 30 octobre 2020. Marriott a déclaré qu'elle ne ferait pas appel, mais n'a pas reconnu sa responsabilité. (Réponse de Marriott à la décision finale de l'ICO)
Avril 2024: une description cryptographique vieille de cinq ans change.Marriott a ajouté une mise à jour à ses avis de 2018 et 2019: les numéros de carte de paiement et certains numéros de passeport qu'elle avait décrits comme protégés par le chiffrement AES-128 étaient en réalité protégés par SHA-1. Cette correction ne change pas le fait de l'accès non autorisé. Elle change la façon dont les lecteurs doivent interpréter les anciennes déclarations sur le chiffrement et les clés.
Octobre-décembre 2024: les résolutions parallèles aux États-Unis deviennent exécutoires.Une coalition de 50 procureurs généraux a annoncé un accord de 52 millions de dollars couvrant 131,5 millions d'enregistrements de clients associés aux États-Unis et des garanties à long terme. La FTC a annoncé un accord de consentement parallèle en octobre et a finalisé sa décision et son ordonnance le 20 décembre. L'affaire de la FTC portait sur trois brèches de 2014 à 2020, de sorte que toutes les allégations ou mesures correctives de cette procédure ne concernent pas exclusivement l'incident de réservation de Starwood.
2025-2026: les litiges privés restent sur une voie séparée.En juin 2025, la Cour d'appel du quatrième circuit a appliqué une renonciation aux recours collectifs et annulé la certification des groupes à l'encontre de Marriott; elle n'a pas statué sur les demandes relatives à la brèche sous-jacente après un procès. (Avis du quatrième circuit) Le formulaire 10-K de Marriott déposé le 10 février 2026 indique que certains plaignants ont intenté des actions individuelles à New York, que les discussions de médiation se poursuivaient dans le cadre du litige fédéral multidistrict, que les affaires canadiennes étaient effectivement regroupées en Ontario et que Marriott contestait les allégations. (Formulaire 10-K 2025 de Marriott)
Les chiffres sont des enregistrements, des personnes, des régions et des populations procédurales
Aucun chiffre unique de la brèche ne peut convenir à tous les usages. Les estimations de Marriott ont changé à mesure que les enquêteurs dédoublonnaient et classifiaient les tables. Les régulateurs et les tribunaux ont ensuite utilisé des populations différentes liées à leur juridiction ou procédure.
| Date et source | Population | Signification du chiffre | Ce qu'il ne signifie pas |
|---|---|---|---|
| 30 novembre 2018, avis de Marriott | Jusqu'à environ 500 millions de clients; environ 327 millions avec une combinaison plus large de champs | Plafond public préliminaire avant la fin de l'analyse des doublons | Un décompte vérifié de personnes uniques ou de personnes ayant toutes perdu les mêmes champs |
| 4 janvier 2019, mise à jour de Marriott | Environ 383 millions d'enregistrements comme limite supérieure; moins de clients uniques | Estimation révisée de l'entreprise après un certain dédoublonnage | 383 millions de personnes distinctes |
| 2020, avis de sanction de l'ICO | 339 millions d'enregistrements de clients dans le monde; 30,1 millions associés aux États de l'EEE; 7 millions associés au Royaume-Uni | Population utilisée dans le dossier final d'application du RGPD | Un chiffre qui peut être ajouté au plafond de 383 millions; les enregistrements régionaux sont des sous-ensembles |
| 2024, accord multi-États | 131,5 millions d'enregistrements concernant des clients américains | Population associée aux États-Unis utilisée par les États | Le total mondial ou le nombre de plaignants individuels ayant reçu une indemnisation |
| 2025, avis du quatrième circuit | Environ 133,7 millions d'enregistrements de clients dans le cadre du litige | Population utilisée pour décrire le dossier des consommateurs | Un jugement au fond selon lequel chaque enregistrement a causé un préjudice indemnisable |
La différence entre un enregistrement et une personne n'est pas une simple question de mise en forme. Un client peut avoir plusieurs séjours, adresses, compagnons, entrées de fidélité ou profils dupliqués. Différentes tables peuvent identifier la même personne de manière incohérente. Marriott a déclaré au Sénat qu'elle ne pouvait pas déterminer avec certitude si des noms et adresses correspondants ou similaires appartenaient à une seule personne ou à plusieurs.
Un inventaire de données défendable devrait résoudre une grande partie de ce problème d'identité avant un incident, et non découvrir au moment de la notification qu'il est impossible de dire combien de personnes sont concernées.
Les catégories variaient également. Le premier avis de Marriott indiquait qu'environ 327 millions d'enregistrements contenaient une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations Starwood Preferred Guest, date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Certains incluaient le numéro de carte de paiement et sa date d'expiration. Le reste était décrit comme le nom plus, dans certains cas, un autre champ tel que l'adresse ou l'e-mail.
« Une combinaison » est un avertissement contre le traitement de chaque champ listé comme présent pour chaque client.
Le compte rendu de l'ICO au niveau des tables ajoute des détails opérationnels. Une table de partage de réservation comprenait les identifiants des clients et de fidélité, les drapeaux VIP, le pays et le numéro de passeport, les informations d'arrivée et de départ, les coordonnées, le numéro de vol, le code de la compagnie aérienne, le statut d'enregistrement et le nombre de clients par chambre. Une autre table contenait le type de chambre, le nombre d'adultes et d'enfants, ainsi que les demandes de lits bébé ou d'appoint. Ces champs peuvent révéler le contexte du ménage et du voyage, même sans information financière.
Les chiffres des passeports et des cartes de paiement ont également évolué. La mise à jour du 4 janvier 2019 de Marriott faisait état d'environ 5,25 millions de numéros de passeport non chiffrés et de 20,3 millions de numéros de passeport alors décrits comme chiffrés. Elle listait environ 8,6 millions de cartes de paiement alors décrites comme chiffrées, dont 354 000 étaient encore valides en septembre 2018, et moins de 2 000 valeurs à 15 ou 16 chiffres dans d'autres champs pouvant être des numéros de carte non chiffrés. (Mise à jour de janvier 2019 de Marriott)
D'après le formulaire 10-K 2018 et le témoignage de mars 2019, l'entreprise indiquait environ 18,5 millions de numéros de passeport protégés, 9,1 millions de cartes de paiement protégées et 385 000 cartes encore valides en septembre 2018. Elle précisait que les données pouvaient inclure plusieurs milliers de numéros de carte de paiement non chiffrés. Le rapport annuel faisait également état de 28 millions de dollars de dépenses liées à l'incident en 2018, partiellement compensées par 25 millions de dollars de recouvrements d'assurance provisionnés; ces écritures comptables mesurent les coûts de réponse, et non le préjudice subi par les clients. (Formulaire 10-K 2018 de Marriott)
La présentation correcte est donc un ensemble d'estimations bornées, et non une compétition pour choisir le chiffre le plus élevé ou le plus récent. Il est également important de préserver l'incertitude dans les deux sens. Les enregistrements en double rendent le nombre de personnes uniques inférieur au total des enregistrements. Les fichiers inconnus ou non récupérés, la télémétrie historique incomplète et les champs en texte libre peuvent rendre plus difficile une reconstruction précise au niveau des champs.
Ce que l'ICO a constaté, et ce qu'elle a délibérément omis de constater
L'avis de sanction de l'ICO est le document public le plus solide concernant les défaillances de sécurité dans l'environnement de réservation Starwood. Il est également plus restreint que ne le suggèrent de nombreux résumés.
Premièrement, l'ICO a constaté que Marriott, en tant que responsable du traitement, avait enfreint l'article 5(1)(f) et l'article 32 du RGPD en ne traitant pas les données à caractère personnel avec une sécurité appropriée. La décision couvrait la période du 25 mai au 17 septembre 2018. Letexte officiel du RGPDfonde la sécurité sur les risques: les mesures appropriées dépendent de l'état de l'art, des coûts de mise en œuvre, du contexte du traitement et des risques pour les droits et libertés des personnes. L'obligation n'est pas une garantie qu'aucun attaquant ne réussira. C'est une obligation de mettre en œuvre et de tester des mesures adaptées aux données et au système réels.
Deuxièmement, l'avis final a identifié quatre défaillances principales.
Surveillance insuffisante des comptes privilégiés.L'attaquant a utilisé des identifiants légitimes pour des activités non autorisées. L'ICO a constaté que Marriott manquait d'une surveillance continue appropriée de l'activité des utilisateurs, en particulier des comptes privilégiés, dans l'environnement des données de titulaires de cartes. Marriott disposait d'un centre d'opérations de sécurité, de tests d'intrusion annuels et de rapports de conformité des cartes de paiement. Le régulateur a conclu que ces contrôles n'évaluaient pas les configurations de journalisation pertinentes et ne remplaçaient pas la nécessité de détecter une utilisation anormale après authentification.
Surveillance insuffisante des bases de données.Guardium enregistrait et alertait sur certaines activités, mais l'ICO a constaté une couverture d'alerte incomplète des bases de données, une agrégation de journaux insuffisante et l'absence de journalisation d'actions telles que la création de fichiers et l'exportation de tables entières. L'alerte qui a finalement compté était appliquée à une table contenant des données de cartes de paiement. Les autres tables de données personnelles ne disposaient pas d'alertes équivalentes. La sensibilité des cartes de paiement peut justifier des contrôles plus stricts, mais le régulateur a estimé qu'elle ne justifiait pas l'absence totale d'alerte sur les autres données personnelles.
Contrôle inadéquat des systèmes critiques.L'ICO a constaté qu'un renforcement approprié des serveurs, tel que le contrôle de l'exécution ou une liste blanche équivalente sur les systèmes critiques, aurait pu limiter la reconnaissance, l'élévation de privilèges et l'exécution de logiciels malveillants. La décision ne prescrivait pas la liste blanche partout. Elle se concentrait sur les appareils et systèmes critiques capables d'atteindre des réserves de données personnelles volumineuses ou sensibles.
Défaut de chiffrement de tous les numéros de passeport.Environ 5,25 millions de numéros de passeport n'étaient pas chiffrés. L'ICO n'a trouvé aucune évaluation des risques documentée expliquant pourquoi certains numéros de passeport bénéficiaient d'une protection cryptographique et d'autres non. Son argument plus large n'était pas que chaque champ doit toujours être chiffré. Il s'agissait que la protection sélective nécessite une justification fondée sur des preuves et une mise en œuvre significative.
La correction SHA-1 de 2024 complique le langage technique de la dernière conclusion. L'avis de sanction discutait de l'AES-128 sur la base des informations alors disponibles. Marriott a ultérieurement déclaré que les numéros de cartes de paiement et certains numéros de passeport dans les tables étaient en réalité protégés à l'aide de SHA-1.
Cette déclaration ultérieure doit remplacer l'ancienne description de l'algorithme pour ces sous-ensembles; elle n'efface pas la constatation de l'ICO selon laquelle des millions de numéros de passeport restaient non chiffrés, ni sa conclusion que Marriott n'avait pas démontré une évaluation cohérente des risques.
Les exclusions sont tout aussi importantes.
L'ICO n'apassanctionné Marriott pour la couverture incomplète de l'authentification multifactorielle. Marriott s'était appuyée sur les assurances de la direction et les rapports de conformité des cartes de paiement de 2016 et 2017 indiquant que l'authentification multifactorielle (MFA) protégeait l'accès à l'environnement segmenté des données de titulaires de cartes. La mise en œuvre était en réalité incomplète, mais après avoir examiné les observations de Marriott, l'ICO a accepté cet appui pour l'objet spécifique qui la concernait et a retiré la MFA des conclusions finales de la sanction. Un compte rendu rigoureux peut encore discuter de la lacune opérationnelle; il ne peut pas qualifier cette lacune comme l'une des quatre infractions finales retenues par l'ICO.
L'ICO n'apasrendu de constatation finale sur la notification des violations au titre de l'article 33. Elle a rejeté une partie du raisonnement juridique de Marriott concernant la prise de conscience, mais a pris en compte l'alerte limitée de septembre, l'absence de connaissance de Marriott de l'exportation de la table jusqu'au 13 novembre et le déchiffrement le 19 novembre, puis a abandonné la constatation proposée. Elle n'a également formuléaucune constatation finale au titre de l'article 34concernant la communication aux personnes concernées. Le régulateur a critiqué un e-mail qui mentionnait un centre d'appels sans inclure le numéro de téléphone, mais a admis que l'e-mail renvoyait au site dédié où le numéro était disponible.
L'ICO n'apasdécidé que la diligence raisonnable de Marriott avant la clôture était juridiquement insuffisante. Elle a reconnu qu'une diligence approfondie d'un concurrent peut être limitée et a exclu de sa décision les actes antérieurs au RGPD. Elle a conclu que la diligence raisonnable n'est pas un événement ponctuel et que Marriott ne pouvait pas continuer à traiter des données sous le RGPD sur des systèmes hérités déficients simplement parce que les faiblesses étaient antérieures à la loi ou à l'acquisition.
Enfin, le chiffre de 18,4 millions de livres sterling ne doit pas être confondu avec la proposition de 2019. L'avis final a pris en compte les observations de Marriott, sa réponse rapide après l'alerte, sa coopération, l'absence de preuve de préjudice financier constatée par l'ICO, d'autres facteurs atténuants et l'impact de la COVID-19. Marriott n'a pas fait appel. Sa déclaration de non-admission coexiste avec une décision réglementaire finale qui a expressément constaté des infractions. « Non-admission » décrit la position procédurale de Marriott; elle ne transforme pas les constatations de l'ICO en simples allégations.
La correction de 2024 transforme la gestion des clés en un problème d'inventaire
L'avis initial de Marriott indiquait que les valeurs des cartes de paiement étaient chiffrées avec AES-128 et nécessitaient deux composants pour être déchiffrées; à ce moment-là, l'entreprise ne pouvait pas exclure que les deux aient été dérobés. La mise à jour de janvier 2019 indiquait qu'il n'y avait aucune preuve que l'attaquant ait accédé à la clé principale nécessaire pour les numéros de passeport protégés, ni à l'un ou l'autre des composants nécessaires pour les numéros de carte protégés. Dans son témoignage de mars, Sorenson a déclaré que Marriott n'avait pas trouvé de preuve d'accès à la clé principale, mais ne pouvait pas l'exclure.
Ces déclarations présentaient le risque comme un texte chiffré plus une éventuelle compromission de clé. La mise à jour d'avril 2024 de Marriott a changé le cadre: les numéros de cartes de paiement et certains numéros de passeport dans les tables affectées étaient protégés avec SHA-1 plutôt qu'avec AES-128. SHA-1 est une fonction de hachage, et non un schéma de chiffrement. Le NIST décrit le hachage comme le mappage de données vers une empreinte de taille fixe et s'éloigne de SHA-1 pour la protection cryptographique. (Aperçu des fonctions de hachage du NIST,Avis de transition SHA-1 du NIST)
Cette distinction est importante. Le chiffrement est conçu pour être réversible avec un secret ou un processus autorisé. Le hachage est normalement utilisé pour produire une empreinte et n'est pas « déchiffré » avec la clé principale décrite dans les avis antérieurs. Mais la correction publique ne divulgue pas si les valeurs ont été salées, dotées d'une clé, tronquées, tokenisées dans une autre couche, associées à des tables de recherche ou autrement transformées.
Elle n'identifie pas non plus les sous-ensembles exacts de passeports et de cartes auxquels SHA-1 s'appliquait, ni ne dit si quelqu'un a récupéré les identifiants sous-jacents à partir de ces valeurs. Il serait irresponsable de fabriquer ces détails.
La constatation de responsabilité est plus étroite mais reste significative: cinq ans après la divulgation, la description publique d'un mécanisme de protection essentiel a changé de catégorie. Cela suggère une défaillance de l'inventaire cryptographique, de la traduction des preuves, ou les deux. Une organisation devrait savoir, par champ et par copie, si les données sont en clair, chiffrées, tokenisées ou hachées; quel algorithme et quel mode sont appliqués; où résident les clés ou les secrets; qui peut les invoquer; quel est l'état de migration; et comment ces faits ont été testés.
C'est particulièrement important lors d'une acquisition. Un document de politique indiquant « les champs sensibles sont chiffrés » n'est pas un inventaire au niveau des champs. Un rapport de conformité des cartes de paiement ne prouve pas que chaque champ de passeport dans chaque table héritée reçoit le même traitement. Un nom d'algorithme dans un avis d'incident n'est pas fiable tant que les enquêteurs n'ont pas retracé le code de l'application, la configuration du schéma, les services de clés, les valeurs stockées et les versions historiques.
Une bonne gestion des clés ne peut pas non plus compenser une utilisation non contrôlée par une application autorisée. Si un attaquant contrôle un compte privilégié ou un processus de base de données capable de demander du texte en clair, le chiffrement au repos peut offrir peu de protection lors des requêtes en direct ou des exportations. L'ICO a fait ce constat indirectement: l'authentification multifactorielle à la frontière extérieure n'éliminait pas le besoin de journalisation à l'intérieur, et le chiffrement dépendait d'une architecture et d'une gestion des clés significatives.
Les contrôles doivent être superposés autour de l'utilisation, et pas simplement attachés au stockage.
Les données aux États-Unis restaient régies par des personnes et des lois ailleurs
Le premier avis de Marriott indiquait que la base de données de réservation des clients Starwood se trouvait aux États-Unis. Les enregistrements étaient mondiaux. L'ICO a compté 30,1 millions d'enregistrements associés aux États de l'EEE et 7 millions associés au Royaume-Uni. Les États ont par la suite utilisé 131,5 millions d'enregistrements associés aux États-Unis. L'emplacement physique de la base de données répondait donc à une question: où un système particulier fonctionnait-il.
Il ne répondait pas à qui étaient les personnes, quels établissements traitaient leurs données, quelles autorités étaient compétentes, ni quel hôtel, franchisé, fournisseur de services ou équipe d'entreprise pouvait y accéder.
La souveraineté des données et la localité doivent être séparées en au moins quatre couches.
Localité de stockagedésigne l'endroit où résident les bases de données principales, les répliques, les sauvegardes, les fichiers d'exportation, les journaux et les copies d'investigation. Le dossier public identifie la base de données de réservation comme étant située aux États-Unis, mais ne fournit pas une cartographie complète de chaque copie ou sauvegarde.
Localité d'accèsdésigne l'endroit où les utilisateurs, les services et les administrateurs peuvent exercer une autorité sur les données. Accenture gérait la base de données; les opérations de Starwood et de Marriott couvraient de nombreux pays; les processus des hôtels et des centres de contact alimentaient le système de réservation. Une base de données peut rester sur du matériel américain tandis que l'accès privilégié et les décisions opérationnelles traversent les frontières.
Localité juridiquesuit les personnes, les établissements, le traitement et la loi applicable, pas seulement les baies de serveurs. L'ICO a agi en tant qu'autorité de contrôle chef de file pour le traitement transfrontalier dans le cadre du mécanisme de coopération du RGPD. Les États américains ont fait valoir leurs propres lois sur la protection des consommateurs et des informations personnelles. Une base de données centrale peut donc accumuler un périmètre juridique distribué.
Localité métierdésigne l'endroit où l'enregistrement a un sens. Les dates d'arrivée, les compagnons, le statut VIP, la compagnie aérienne et l'emplacement de l'hôtel sont liés aux déplacements et aux relations du voyageur. Les centraliser peut soutenir un service mondial, mais cela crée également une description concentrée de l'activité à travers les juridictions.
La déclaration de confidentialité mondiale actuelle de Marriott indique que le transfert international est essentiel à son service mondial, que les données peuvent être transférées vers des pays ayant des normes de protection différentes et que des mécanismes de transfert approuvés sont utilisés le cas échéant. Elle énonce également des critères de conservation fondés sur la finalité et la loi. (Déclaration de confidentialité mondiale du groupe Marriott) Il s'agit d'une preuve utile du modèle de gouvernance actuel, et non d'une preuve de l'architecture Starwood de 2014-2018 ou de la conformité historique.
La leçon n'est pas que les données de réservation mondiales doivent toujours rester dans le pays du voyageur. Les preuves confirment une règle plus pratique: un responsable du traitement mondial a besoin d'une cartographie au niveau des enregistrements reliant la finalité, la personne, la source, le stockage, l'accès, le mécanisme de transfert, la conservation, les contrôles de sécurité et l'entité juridique responsable. Sans cette cartographie, « la base de données se trouve aux États-Unis » devient un fait de localisation présenté comme s'il s'agissait d'une réponse de gouvernance.
Les enregistrements exposés ont réduit le coût des contacts convaincants
Les cartes de paiement et les passeports attirent immédiatement l'attention parce que ce sont des instruments d'identité et financiers familiers. Les tables Starwood contenaient également une source de préjudice plus discrète: les ingrédients d'un contact crédible.
Un message d'hameçonnage ordinaire paie un impôt de crédibilité. L'expéditeur doit convaincre le destinataire que le message concerne une relation, un événement ou une transaction réels. Un ensemble de données de réservation peut réduire ce coût. Un message peut citer une marque d'hôtel, un séjour approximatif, une relation de fidélité, une fenêtre d'arrivée, une destination, un contexte de compagnon, une préférence de communication ou un vol. Les coordonnées fournissent l'itinéraire; les détails du voyage fournissent le prétexte; les champs de statut et de préférence aident à choisir le ton.
C'est l'économie du contact abusif. L'enregistrement n'a pas besoin de permettre à un attaquant d'ouvrir directement un compte bancaire pour être utile. Il peut rendre la prochaine demande moins coûteuse à personnaliser et plus difficile à rejeter pour le destinataire. La CISA définit l'hameçonnage ciblé (spearphishing) comme le ciblage d'un individu avec des informations clés sur cette personne. (Guide de la CISA sur l'hameçonnage) L'alerte aux consommateurs de la FTC concernant Marriott avertissait que les escrocs pourraient exploiter l'annonce de la brèche elle-même en se faisant passer pour Marriott et en dirigeant les destinataires vers de faux sites. (Conseils de la FTC sur la brèche Marriott)
La base de données combinait plusieurs pistes d'abus:
- Un nom, un e-mail et un numéro de téléphone réduisent le coût de découverte et permettent de passer de l'e-mail au SMS ou à la voix.
- Les détails de réservation et de séjour fournissent une histoire plausible de problème de service, de remboursement, de facture, d'ajustement de fidélité ou d'avertissement de sécurité.
- Les données d'arrivée, de départ, de compagnie aérienne et de localisation peuvent rendre l'urgence contemporaine.
- Les identifiants de fidélité créent une deuxième classe d'actifs: points, accès au compte et une relation client durable.
- Les numéros de passeport et les dates de naissance peuvent renforcer les tentatives d'usurpation d'identité ou fournir des fragments de vérification, même si un numéro de passeport seul n'est pas un passeport physique.
- Le statut VIP, l'employeur ou le contexte des préférences peuvent aider à prioriser les cibles ou à adapter un contact de type dirigeant.
- Le nombre de compagnons et d'enfants peut exposer un contexte relationnel que la personne concernée ne s'attendait pas à voir utilisé en dehors des opérations hôtelières.
Ce sont des mécanismes d'abus plausibles étayés par les champs et les conseils généraux sur la fraude. Ils ne prouvent pas qu'une campagne nommée ait utilisé les enregistrements Starwood. En mars 2019, Sorenson a témoigné que Marriott n'avait pas reçu de réclamations étayées de pertes dues à la fraude attribuables à l'incident et n'avait pas trouvé les tables affectées proposées à la vente dans sa surveillance. L'ICO a déclaré plus tard n'avoir vu aucune preuve de préjudice financier.
La plainte de la FTC, en revanche, alléguait que les enregistrements détaillés causaient ou étaient susceptibles de causer un préjudice substantiel, notamment l'hameçonnage, l'utilisation abusive d'identité et la charge de la surveillance et du remplacement des identifiants. La différence tient en partie à la posture juridique et en partie au temps: l'absence d'utilisation abusive observée n'est pas une preuve d'absence d'exposition, mais un préjudice probable n'est pas une preuve de fraude consommée.
L'économie du contact affecte également la notification. Marriott devait envoyer des e-mails aux clients concernés, mais l'existence même d'une campagne de notification largement médiatisée créait un prétexte aux imposteurs. Les véritables avis de l'entreprise devaient être distinguables, multilingues et accessibles par des canaux vérifiables indépendamment. La discussion de l'ICO sur le numéro de centre d'appels omis montre que la qualité de la notification est un contrôle de sécurité, et non un accessoire de relations publiques.
Le remède à plus long terme est la minimisation des données. Si un champ n'est plus nécessaire pour le service, la loi, la prévention de la fraude ou une finalité opérationnelle définie, le conserver préserve une subvention pour les attaquants. L'ordonnance finale de la FTC exige une politique de conservation liée à la finalité de la collecte et au besoin commercial spécifique, une voie de suppression pour les consommateurs américains et des limites à l'utilisation des informations supprimées à des fins de marketing. L'ordonnance transforme la surface d'abus réduite en une obligation de gouvernance.
Trois dossiers d'application, trois types de responsabilité différents
La sanction de l'ICO, l'accord des États et l'ordonnance de la FTC ne doivent pas être amalgamés en une seule amende indifférenciée.
Lasanction de l'ICOest une décision administrative finale constatant des infractions au RGPD pour une période définie en 2018. Elle a imposé 18,4 millions de livres sterling. Marriott n'a pas fait appel mais a déclaré ne pas admettre sa responsabilité. La constatation, le calcul de la sanction et les exclusions sont contenus dans un avis de 91 pages.
L'accord multi-Étatsa résolu les allégations des États et a exigé un paiement de 52 millions de dollars. L'annonce du Connecticut indique que la coalition a allégué des violations des lois sur la protection des consommateurs, des informations personnelles et, le cas échéant, sur la notification des violations. Il exige un programme complet de sécurité de l'information, des principes de confiance zéro, un inventaire des actifs, un renforcement, un chiffrement, une segmentation, une gestion des correctifs, une surveillance, une supervision des fournisseurs et des franchisés, la suppression des données des consommateurs et des protections de fidélité, une évaluation des entités acquises et des examens indépendants bisannuels pendant 20 ans. (Annonce de l'accord par le procureur général du Connecticut) Les jugements enregistrés indiquent que Marriott n'admet pas de violation ou de responsabilité; le paiement de l'accord n'est pas un verdict de procès pour chaque personne affectée. (Jugement final du Vermont)
L'affaire de la FTCest une procédure administrative de consentement. La plainte allègue des déclarations de sécurité trompeuses et des pratiques de sécurité déloyales concernant la brèche antérieure des points de vente de Starwood, la brèche de la base de réservation de Starwood et un incident ultérieur d'identifiants Marriott divulgué en 2020. Les allégations de la plainte doivent être identifiées comme telles. La décision et l'ordonnance finales sont contraignantes, que chaque allégation ait été ou non examinée devant un tribunal.
L'ordonnance finale de la FTCexige un programme de sécurité écrit, des évaluations des risques annuelles et post-incident, des rapports au conseil d'administration, un examen actif des journaux dans les 24 heures, des contrôles sur l'utilisation abusive des identifiants valides, le moindre privilège, l'authentification multifactorielle, le renforcement de la configuration, un inventaire des actifs et des données personnelles, des décisions de chiffrement ou de protection équivalente, la gestion des correctifs, la segmentation et les tests d'intrusion, les contrôles des fournisseurs, la supervision des franchisés, la déclaration des incidents, la certification du PDG et des évaluations indépendantes tous les deux ans pendant 20 ans.
Une disposition rend la leçon de l'acquisition explicite. Après la clôture d'une acquisition d'une entité traitant des informations personnelles, Marriott doit évaluer si le programme de l'entité acquise est conforme à l'ordonnance, créer un plan et un calendrier pour les lacunes, et corriger les déficiences des actifs informatiques acquis avant de les utiliser comme actifs de production de Marriott. Cela n'exige pas l'omniscience avant la clôture. Cela exige une admission contrôlée en production après la clôture.
L'ordonnance donne également aux consommateurs américains un chemin de demande de suppression lié à l'adresse e-mail ou au numéro de compte de fidélité et exige que Marriott examine les activités de fidélité suspectes non autorisées et restaure les points lorsqu'elle détermine qu'une activité non autorisée par un tiers a entraîné une réduction, sous réserve des termes de l'ordonnance. L'explication de la FTC pour les consommateursrend ces recours plus faciles à comprendre que le document juridique.
L'application de la loi ne prouve pas l'efficacité actuelle des contrôles. Une ordonnance précise des devoirs; un évaluateur teste la mise en œuvre; une certification attribue la responsabilité. Les lecteurs publics ne disposent toujours pas des rapports d'évaluation indépendants, des registres d'exceptions détaillés ni de l'inventaire cryptographique au niveau des champs. Le rapport annuel 2025 de Marriott indique que les résolutions créent des exigences à long terme et que la non-conformité pourrait entraîner de nouvelles mesures d'application.
Il décrit également un comité de surveillance de la technologie et de la sécurité de l'information du conseil d'administration et des processus continus de gestion des cyber-risques. Il s'agit de structures de gouvernance et de déclarations d'entreprise, et non d'un avis d'assurance public.
Les litiges privés ajoutent une autre voie de responsabilité, mais pas un verdict clair de responsabilité. La décision de 2025 du quatrième circuit portait sur l'applicabilité d'une renonciation aux recours collectifs dans les conditions de fidélité. La décertification change la manière dont les demandes peuvent être agrégées; elle ne détermine pas si la sécurité était raisonnable, si une personne particulière a subi une perte ou si chaque demande individuelle échoue. Le dernier rapport annuel de Marriott indique qu'elle conteste les allégations et que les procédures se poursuivaient à la fin de 2025.
Un tableau de bord des contrôles post-acquisition
La question utile du conseil d'administration n'est pas « La diligence a-t-elle eu lieu? » C'est « Quelles affirmations héritées ont été converties de manière indépendante en preuves opérationnelles? »
| Question de contrôle | Preuve publique dans le dossier Marriott-Starwood | Preuve qu'un propriétaire responsable devrait être en mesure de produire |
|---|---|---|
| Quels incidents et faiblesses sont antérieurs à la clôture? | Starwood a divulgué une brèche distincte des points de vente quatre jours après l'annonce de l'accord; la FTC a allégué plus tard que Marriott en avait examiné les causes. | Lignée des incidents signée, éléments de remédiation ouverts, portée de l'investigation, faits contestés et plan de validation post-clôture. |
| Quelles identités survivent à la transaction? | L'attaquant de la réservation a utilisé des identifiants privilégiés et utilisateur; des identifiants Accenture sont apparus dans une activité ultérieure. | Inventaire complet des comptes privilégiés, de service, fournisseurs et dormants; preuve de réémission ou de rotation; propriétaire et expiration pour chaque exception. |
| L'environnement acquis peut-il détecter un comportement après une connexion valide? | L'ICO a constaté une surveillance insuffisante des utilisateurs privilégiés et des bases de données malgré un SOC, un SIEM et des évaluations de conformité. | Couverture des sources de journaux, lignes de base d'activité, alertes d'exportation, cas d'utilisation testés, conservation et réponse mesurée des analystes. |
| Un seul processus peut-il exporter une table sensible entière? | Les exportations de fichiers de vidage étaient au cœur de l'incident; seules certaines tables généraient des alertes Guardium. | Politique de surveillance de l'activité des bases de données, seuils d'exportation en masse, double autorisation, contrôles de sortie et exercices prouvant que les alertes parviennent aux intervenants. |
| Les systèmes critiques sont-ils renforcés contre les logiciels malveillants et la reconnaissance? | L'ICO a constaté un contrôle inadéquat des systèmes critiques et a identifié la liste blanche ou un renforcement équivalent comme approprié. | Lignes de base de configuration, couverture de l'application, ancienneté des exceptions, détection de dérive et tests de tentative de contournement. |
| Que signifie « chiffré » pour chaque champ? | Des millions de numéros de passeport étaient en clair; en 2024, Marriott a corrigé les descriptions AES-128 en SHA-1 pour les cartes et certains passeports. | Classification au niveau du schéma, méthode et version, architecture de sel ou de clé le cas échéant, propriétaire cryptographique, preuve de rotation et de migration. |
| La séparation réduit-elle réellement le risque? | Les systèmes hérités de Starwood sont restés séparés du réseau plus large de Marriott, limitant l'accès aux données non-Starwood mais ne protégeant pas les enregistrements Starwood. | Chemins de confiance testés, restrictions de sortie, frontières des administrateurs, surveillance des deux côtés et portes d'intégration explicites. |
| L'organisation peut-elle compter les personnes, pas seulement les lignes? | Les totaux publics sont passés de 500 millions de clients à 383 millions d'enregistrements, puis à d'autres populations spécifiques aux procédures. | Logique de déduplication des identités, lignage des données, intervalles de confiance, mappage des champs par personne et ensembles de données de notification répétés. |
| Où chaque enregistrement est-il régi? | Une base de données américaine contenait des enregistrements mondiaux; l'ICO, les États américains et d'autres autorités avaient des intérêts. | Localité du stockage et des sauvegardes, géographie de l'accès, entité juridique, mécanisme de transfert, région de la personne concernée et cartographie des régulateurs. |
| La mise hors service est-elle un programme de sécurité ou seulement une date de migration? | Marriott a mis fin à l'utilisation professionnelle de la base de données Starwood en décembre 2018. | Plan de mise hors service couvrant les copies, les interfaces, les comptes, les secrets, le matériel, les obligations de conservation légale, les sauvegardes et les attestations de destruction. |
| Une future acquisition peut-elle entrer en production sans lacunes héritées? | Les ordonnances de la FTC et des États exigent désormais une évaluation et une planification de la remédiation post-acquisition. | Critères de mise en service, acceptation des risques signée au bon niveau, contrôles compensatoires, échéances et tests de clôture indépendants. |
| Les personnes extérieures peuvent-elles vérifier la remédiation? | La FTC exige une évaluation indépendante bisannuelle et une certification du PDG; les rapports ne sont généralement pas publics. | Preuves prêtes pour les régulateurs et, lorsque c'est sûr, des indicateurs publics agrégés sur la couverture, les exceptions, les constatations et la clôture. |
Ce tableau de bord ne suppose pas que chaque contrôle était absent partout. Il traduit les modes de défaillance documentés en questions de preuve. C'est une norme plus exigeante qu'une liste de contrôle de politiques, car elle demande si les systèmes hérités se comportent comme la direction le croit.
La responsabilité se situe là où le contrôle pratique change
L'intrus ou les intrus inconnus sont responsables de l'entrée non autorisée, de la persistance et de l'exportation. Cette responsabilité ne doit pas être réattribuée à l'organisation victime simplement parce que les régulateurs examinent les mesures de protection. La responsabilité des entreprises répond à une autre question: qui contrôlait les conditions qui rendaient l'accès plus difficile à prévenir, détecter ou contenir, et qui contrôlait la réponse?
Starwood contrôlait l'environnement au moment de la compromission initiale. Marriott ne le contrôlait pas. Starwood a également apporté l'historique de sécurité antérieur des points de vente dans la transaction. Ces faits comptent lors de la reconstitution de la causalité.
Marriott contrôlait l'entreprise acquise après septembre 2016. Elle a choisi de maintenir la plateforme de réservation Starwood pendant la migration, même pour des raisons compréhensibles de continuité. Elle contrôlait le rythme et les conditions de l'amélioration de la sécurité, de l'intégration et de la mise hors service. Les constatations juridiques de l'ICO commencent plus tard, le 25 mai 2018, mais le contrôle opérationnel a débuté à la clôture.
Accenture gérait la base de données de réservation et a escaladé l'alerte Guardium. Les documents publics identifient également des identifiants Accenture compromis. Ces faits établissent un rôle important de fournisseur de services, et non une attribution complète de la faute contractuelle ou juridique. Les litiges privés incluaient des demandes contre Accenture, mais cet article ne traite pas les allégations non résolues comme des jugements.
Les conseils d'administration et la haute direction contrôlaient l'acceptation des risques et les exigences de preuve. Sorenson a déclaré avoir appris l'existence du RAT le 17 septembre et que le conseil en a été informé le lendemain. L'ordonnance ultérieure de la FTC exige désormais une visibilité annuelle du conseil et des rapports d'incidents, tandis que la certification du PDG crée un canal de responsabilité direct. La gouvernance ne consiste pas à ce que le conseil gère un SIEM; elle consiste à ce que le conseil exige la preuve que les risques hérités à fortes conséquences ont des propriétaires, des délais et une clôture vérifiée.
Les régulateurs contrôlaient des recours différents. L'ICO a appliqué un cadre de protection des données transfrontalier et a émis une sanction motivée. Les procureurs généraux des États ont obtenu de l'argent, des droits pour les consommateurs et des garanties détaillées. La FTC a imposé un programme et un régime d'évaluation à long terme, mais a déclaré ne pas avoir l'autorité pour obtenir une amende civile dans cette affaire. Des pouvoirs juridiques différents produisent des résultats de responsabilité différents.
Les clients ne contrôlaient presque aucune des conditions antérieures à la brèche. Ils ne pouvaient pas inspecter la couverture de la journalisation, savoir que les champs de passeport avaient une protection incohérente, voir qu'un attaquant utilisait des identifiants privilégiés ou choisir si le système hérité restait actif. La surveillance post-brèche, le remplacement des cartes et la prudence face à l'hameçonnage transfèrent du travail vers eux. Les droits de suppression et de révision de la fidélité aident, mais ils arrivent après que l'organisation a choisi l'architecture des données.
Ce que l'on peut conclure, et ce qui reste en dehors du dossier public
Les preuves publiques étayent la conclusion ferme que l'environnement de réservation Starwood est resté compromis pendant toute la durée de l'acquisition et que Marriott n'a pas détecté l'intrus pendant près de deux ans après la clôture. Elles étayent les quatre constatations de l'ICO au titre du RGPD pour la période définie en 2018. Elles étayent le fait de populations d'enregistrements mondiales importantes et mixtes, les accords américains de 2024 et les garanties exécutoires qui en résultent.
Il n'identifie pas l'attaquant par un jugement pénal public. Les reportages ont relayé des théories d'acteur étatique, mais les documents officiels examinés décrivent un attaquant inconnu ou des acteurs malveillants. L'attribution doit rester non revendiquée en l'absence d'un acte d'accusation public ou d'une preuve autorisée équivalente.
Il ne montre pas exactement quelle vulnérabilité initiale a été exploitée, chaque hôte atteint, chaque fichier supprimé ou chaque personne dont les données ont été consultées. Il ne divulgue pas le rapport d'investigation complet de Verizon, le rapport d'investigation des cartes de paiement, les évaluations de conformité indépendantes ou l'ensemble complet des journaux historiques.
Il n'établit pas que chaque client affecté a subi une fraude, qu'aucun client n'a subi de préjudice, ou que chaque combinaison de données avait une valeur égale. L'observation par Marriott en 2019 de l'absence de fraude attribuable étayée et l'absence de préjudice financier observé par l'ICO sont des preuves. Il en va de même pour les risques inhérents d'usurpation d'identité et de contact ciblé reconnus par la FTC. La conclusion honnête préserve les deux.
Il n'en dit pas assez au public sur la mise en œuvre de SHA-1 pour estimer la possibilité de récupération de valeurs spécifiques de cartes ou de passeports. La correction établit une erreur de classification de la méthode de protection, pas les détails de configuration manquants.
Il ne prouve pas que le programme actuel de Marriott est inefficace. Les politiques, les comités, les dépenses, les accords réglementaires ou une base de données mise hors service ne prouvent pas non plus que tous les contrôles successeurs sont efficaces. Cette question relève des tests opérationnels et de l'évaluation indépendante.
La leçon de la fusion est la propriété de l'incertitude
La leçon la plus forte de Marriott et Starwood n'est pas que les entreprises devraient renoncer aux acquisitions impliquant une technologie héritée. Presque chaque grande transaction comporte des systèmes inconnus, des enregistrements irréguliers et des exceptions héritées. La leçon n'est pas non plus que la continuité doit être sacrifiée pour mettre hors service immédiatement chaque plateforme acquise. Déplacer 1 270 hôtels tout en préservant les réservations était une contrainte opérationnelle réelle.
La leçon est que l'incertitude elle-même devient un risque possédé à la clôture. Un acheteur peut reconnaître un accès limité avant la clôture sans accepter une ambiguïté indéfinie après la clôture. Il peut isoler un réseau hérité sans confondre isolement et sécurité. Il peut maintenir temporairement une base de données héritée sans lui donner des normes temporaires. Il peut s'appuyer sur des rapports de conformité tout en testant les contrôles que ces rapports ne couvrent pas. Il peut décrire la cryptographie seulement après avoir retracé la mise en œuvre réelle au niveau des champs.
La base de données Starwood contenait un modèle d'affaires en miniature: identité, contact, fidélité, paiement et déplacement assemblés pour faire fonctionner l'hôtellerie au-delà des frontières. Ce même assemblage rendait les abus plus économiques et la responsabilité juridique plus distribuée. Son emplacement physique aux États-Unis n'a pas localisé les personnes, les préjudices ou les obligations. Son statut hérité n'a pas suspendu les obligations du responsable du traitement.
L'ordonnance de la FTC de 2024 inscrit désormais le principe d'acquisition dans un langage exécutoire: évaluer l'entité acquise après la clôture, planifier en fonction des lacunes identifiées et corriger les déficiences avant que les actifs acquis n'entrent dans la production de Marriott. Cette règle est plus étroite que l'omniscience et plus forte que le théâtre de la diligence. Elle demande au propriétaire de convertir les déclarations en preuves avant que la confiance ne s'étende.
Marriott a acheté les marques, les hôtels, les relations de fidélité et les systèmes de Starwood. Elle a également acheté la charge de découvrir ce que ces systèmes faisaient réellement. Le dossier de la brèche montre à quel point l'écart entre la croyance architecturale et la vérité opérationnelle peut devenir coûteux. La responsabilité commence par combler cet écart avant que la prochaine alerte ne doive le faire.
Typographie
La typographie est l'art et la technique d'arranger les caractères pour rendre le langage écrit lisible, compréhensible et visuellement attrayant. Elle implique la sélection de polices de caractères, de tailles de points, de longueurs de lignes, d'interlignes et d'espacement des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés comprennent le choix de la police, le crénage, le suivi et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.

