Résumé

  • Vérité opérationnelle héritée:L'intrus est entré dans l'environnement Starwood fin juillet 2014, plus de deux ans avant que Marriott ne finalise son acquisition de Starwood le 23 septembre 2016. Marriott n'a pas créé la compromission initiale. Cependant, après la clôture, elle contrôlait une société dont le système de réservation encore opérationnel et les dossiers clients mondiaux devaient être gérés comme des actifs de Marriott, même si les réseaux hérités et Marriott restaient séparés.
  • Chronologie et portée:Une alerte de surveillance de base de données a été générée le 7 septembre 2018 et transmise à Marriott le 8 septembre. Les enquêteurs ont trouvé un cheval de Troie d'accès à distance le 17 septembre, identifié des fichiers d'exportation cryptés supprimés le 13 novembre, décrypté deux fichiers le 19 novembre, informé le régulateur britannique le 22 novembre et divulgué publiquement le 30 novembre. Le plafond initial de 500 millions de clients de Marriott est devenu une limite supérieure de 383 millions d'enregistrements, et les registres réglementaires ultérieurs ont fait état de 339 millions au niveau mondial; aucun de ces chiffres n'est un décompte exact de personnes uniques.
  • Constatations sur les données et les contrôles:Les combinaisons exposées comprenaient des coordonnées, des dates de naissance, des identifiants de passeport, des données de fidélité, des informations de réservation et de séjour, ainsi que des données de cartes de paiement. Le Bureau du commissaire à l'information du Royaume-Uni (ICO) a formulé quatre constatations principales pour la période couverte par le RGPD uniquement: surveillance insuffisante des comptes privilégiés, surveillance insuffisante des bases de données, contrôle inadéquat des systèmes critiques et défaut de chiffrement de tous les numéros de passeport. Il n'a pas tiré de conclusions définitives en vertu des articles 33 ou 34 du RGPD, et il a exclu la couverture incomplète de l'authentification multifacteur de la sanction après avoir examiné les observations de Marriott.
  • Responsabilité après les mesures d'exécution:L'ICO a infligé une amende de 18,4 millions de livres sterling en 2020. En 2024, les procureurs généraux des États ont conclu un accord de 52 millions de dollars et la Federal Trade Commission a imposé une ordonnance de 20 ans couvrant la gouvernance de la sécurité, l'évaluation des entités acquises, la surveillance, l'accès, le durcissement, la cryptographie, la conservation des données et l'évaluation indépendante. Marriott n'a pas admis sa responsabilité dans la procédure de l'ICO ni dans l'accord multi-États. Ces limites procédurales sont importantes, mais elles n'atténuent pas la leçon opérationnelle: une acquisition clôt une transaction juridique; elle ne certifie pas la vérité de l'environnement acquis.

L'actif était une entreprise, une base de données et un historique de sécurité inachevé

Marriott a annoncé son accord pour acquérir Starwood le 16 novembre 2015. Quatre jours plus tard, Starwood a divulgué un incident distinct de cartes de paiement affectant les systèmes de point de vente dans un nombre limité d'hôtels nord-américains. Le rapport annuel 2015 de Starwood a indiqué que des logiciels malveillants avaient atteint les systèmes de point de vente des restaurants, des boutiques de cadeaux et autres; il a précisé qu'il n'y avait alors aucune indication que le système de réservation ou les systèmes Starwood Preferred Guest aient été affectés. (Starwood - Rapport annuel 2015 (Formulaire 10-K))

Cette divulgation ne constituait pas un avis de l'intrusion dans la base de données de réservation annoncée ultérieurement par Marriott. Les deux événements concernaient des systèmes et des comptes publics différents. Il s'agissait toutefois d'un signal que l'environnement de Starwood avait un historique de sécurité. La plainte de la Federal Trade Commission de 2024 indique que la compromission des points de vente a duré environ 14 mois, a touché plus de 40 000 consommateurs et était associée à une segmentation inadéquate, des contrôles d'accès insuffisants, des logiciels non pris en charge et l'absence d'authentification multifacteur. La même plainte indique que Marriott a examiné le programme de sécurité de l'information de Starwood pendant les dix mois séparant l'annonce de la clôture, y compris les défaillances liées à cette première violation. Ces déclarations sont des allégations de la FTC dans une affaire de consentement, et non des conclusions issues d'un procès contesté. (Plainte de la FTC)

Le récit de Marriott ajoute une contrainte importante. Dans un témoignage de 2019 devant une sous-commission du Sénat américain, le directeur général de l'époque, Arne Sorenson, a déclaré que Marriott avait obtenu des informations sur la technologie de Starwood et évalué l'intégration pendant la période précédant la clôture, mais que l'enquête était limitée juridiquement et pratiquement du fait que les entreprises restaient concurrentes. Marriott a décidé de conserver sa propre plateforme de réservation et de mettre hors service celle de Starwood. Le transfert de 1 270 hôtels sans perturber les réservations a pris deux ans, de sorte que le système Starwood a continué de fonctionner après la clôture, tandis que Marriott affirmait avoir investi dans des mesures de sécurité supplémentaires. (Témoignage de Sorenson au Sénat)

Les deux faits peuvent être vrais. L'accès avant la clôture peut être limité, et un acheteur peut néanmoins hériter d'un problème de contrôle opérationnel. L'erreur consiste à considérer la diligence raisonnable comme un certificat ponctuel plutôt que comme un changement dans la charge de la preuve. Avant la clôture, l'acheteur demande ce qu'il peut inspecter légalement, ce que le vendeur déclare et les protections contractuelles dont il a besoin. Après la clôture, le propriétaire peut revalider les identités privilégiées, inspecter la journalisation, rechercher la persistance, cartographier les exportations de bases de données, tester la segmentation, inventorier les méthodes cryptographiques et décider si un système hérité peut continuer à traiter des données personnelles. L'autorité change. Les preuves doivent en faire autant.

Marriott a finalisé l'acquisition le 23 septembre 2016. Starwood est devenue une filiale indirecte à part entière, et le groupe combiné a décrit près de 6 000 établissements, plus de 1,1 million de chambres et 30 marques réparties dans 120 pays et territoires. (Marriott - Formulaire 8-K d'acquisition) L'échelle est pertinente non pas comme un spectacle, mais comme une cartographie des dépendances. Une base de données de réservation n'était pas une application bureautique périphérique. Elle reliait les hôtels, les centres de contact, les processus de fidélisation, le service client et les dossiers de voyage au sein d'un système mondial de franchise et de gestion.

Les archives publiques établissent également un fait architectural étroit mais important. L'ICO a constaté que les systèmes auxquels l'attaquant a accédé sont restés isolés du réseau plus large de Marriott. Elle a indiqué que l'attaque n'a pas donné accès aux données personnelles traitées uniquement sur des systèmes autres que Starwood. La séparation a donc limité le rayon de l'explosion. Elle n'a pas rendu l'environnement acquis sûr. Le côté Starwood est resté en production, et une séparation sans surveillance efficace peut préserver un intrus aussi facilement qu'elle peut en contenir un.

Chronologie: l'intrusion, la propriété, la détection et la divulgation sont des dates différentes

La violation est souvent résumée par l'expression « accès non autorisé depuis 2014 ». Cette expression occulte la séquence nécessaire à la responsabilité. Au moins six horloges comptent: l'intrusion initiale, l'acquisition par Marriott, le début de la couverture du RGPD, l'alerte, la confirmation que des données clients étaient concernées et la divulgation publique.

Juin 2014 à 2015: un incident distinct de cartes de paiement chez Starwood.La plainte ultérieure de la FTC décrit une intrusion de 14 mois au cours de laquelle un acteur a atteint le réseau de Starwood et installé des logiciels malveillants de vol de cartes de paiement dans plus de 100 établissements détenus ou gérés. Starwood a divulgué publiquement en novembre 2015 un incident plus limité au niveau des points de vente et a déclaré que ses systèmes de réservation et de fidélisation n'étaient pas signalés comme affectés. Cet événement antérieur est pertinent car il a mis en évidence des faiblesses du réseau dans le contexte de l'acquisition. Il ne doit pas être rétroactivement fusionné avec la violation de la base de données de réservation comme si tous les faits ou tous les consommateurs affectés étaient identiques.

28-29 juillet 2014: entrée dans l'environnement ultérieurement lié à la violation de la base de réservation.La plainte de la FTC situe la compromission d'un serveur web externe aux alentours du 28 juillet. L'avis de sanction de l'ICO indique qu'un shell web a été installé le 29 juillet sur un appareil prenant en charge une application utilisée par les employés de Starwood pour demander des modifications du contenu du site web. Le shell a permis un accès à distance et l'installation de chevaux de Troie d'accès à distance. La différence d'un jour reflète la précision de deux reconstitutions publiques, pas nécessairement une contradiction factuelle. La conclusion prudente est fin juillet 2014.

L'intrus a récolté des identifiants privilégiés et utilisateur et s'est déplacé dans l'environnement Starwood. La FTC a allégué que des enregistreurs de frappe, des logiciels malveillants de capture de mémoire et des chevaux de Troie d'accès à distance sont finalement apparus sur plus de 480 systèmes répartis dans 58 sites d'entreprise, centres de données, centres de contact et hôtels. L'ICO a décrit l'utilisation de comptes légitimes, l'extraction d'identifiants avec Mimikatz et l'exportation de tables de base de données entières dans des fichiers de vidage. Aucun de ces documents ne publie le rapport d'enquête médico-légale sous-jacent, une liste complète des hôtes affectés ou la vulnérabilité précise qui a rendu le serveur public exploitable initialement.

Novembre 2015: Marriott annonce l'accord; Starwood divulgue l'autre violation.C'est le moment où le cyberrisque hérité est devenu visible comme un problème transactionnel. Il n'a pas révélé l'attaquant caché de la base de réservation. Il a donné à l'acheteur une raison de considérer les assurances techniques, les allégations de remédiation, la conformité aux normes de cartes de paiement et la segmentation du réseau comme des propositions nécessitant une vérification indépendante après le transfert de contrôle.

23 septembre 2016: Marriott finalise l'acquisition.L'intrus de la base de réservation était déjà présent. Marriott affirme avoir apporté des améliorations de sécurité tout en continuant à exploiter le système de Starwood en attendant la migration. L'ICO rapporte que les deux réseaux sont restés séparés durant la période concernée. La FTC a par la suite allégué que Marriott avait la responsabilité de mettre en place, d'examiner et de mettre en œuvre des pratiques de sécurité pour les deux entreprises après la clôture.

25 mai 2018: le RGPD devient applicable.Cette date définit la portée juridique de la décision de l'ICO. L'attaque a commencé des années plus tôt, mais l'avis de sanction porte sur le traitement par Marriott du 25 mai au 17 septembre 2018. L'ICO a expressément indiqué qu'elle ne formulait pas de constatation d'infraction pour la période comprise entre l'acquisition et l'applicabilité du RGPD et qu'elle n'a pas tranché la question de savoir si une diligence plus approfondie avait été possible lors de la prise de contrôle. Cette limite est essentielle. L'ICO a utilisé le système hérité pour évaluer les obligations continues de Marriott en tant que responsable du traitement après l'entrée en vigueur du RGPD, et non pour inventer une responsabilité rétroactive au titre du RGPD pour des faits survenus en 2014 ou 2016. (Avis de sanction de l'ICO)

7-8 septembre 2018: une requête de comptage génère une alerte.Le 7 septembre, un compte administrateur a interrogé le nombre de lignes d'une table protégée de profils clients. IBM Guardium a généré une alerte. Accenture, qui gérait la base de données de réservation des clients Starwood, a contacté l'équipe informatique de Marriott le 8 septembre. Marriott a appris que la personne dont les identifiants avaient été utilisés n'avait pas effectué la requête. L'alerte concernait une table surveillée parce qu'elle contenait des détails de cartes; l'ICO a indiqué que d'autres tables sans données de cartes de paiement ne faisaient pas l'objet d'alertes équivalentes.

Il s'agissait de la détection d'une action anormale, et non de la connaissance immédiate de l'ensemble de la violation. La requête a renvoyé un nombre, pas le contenu des lignes. La même journée a par la suite été contestée dans l'analyse de l'ICO sur le moment où Marriott a eu connaissance d'une violation de données personnelles aux fins de la notification en vertu de l'article 33. Après examen des observations de Marriott, l'ICO n'a formulé aucune constatation finale d'infraction à l'article 33.

9-12 septembre: réponse à l'incident et poursuite de l'activité de l'attaquant.Marriott a activé son plan de réponse aux incidents de sécurité de l'information et de confidentialité autour du 9 ou 10 septembre et a fait appel à des enquêteurs externes le 10 septembre. L'ICO indique qu'une autre table liée aux passeports a été exportée dans un fichier de vidage ce jour-là. Le 12 septembre, Marriott a commencé à déployer une surveillance en temps réel et des outils d'investigation sur environ 70 000 appareils hérités de Starwood. Le fait qu'une exportation de données ait eu lieu après la première alerte est significatif; cela montre pourquoi la génération d'alertes, l'escalade par les analystes, le confinement et l'éradication doivent être mesurés séparément.

15-18 septembre: identifiants, logiciel malveillant et escalade de gouvernance.Les enquêteurs ont identifié une activité non autorisée impliquant des identifiants d'employés d'Accenture datant de juillet. Ils ont trouvé un cheval de Troie d'accès à distance le 17 septembre et bloqué les adresses de commande et de contrôle. Sorenson a témoigné qu'il en avait été informé ce jour-là et que le conseil d'administration avait été notifié le 18 septembre. L'ICO a retenu le 17 septembre comme date de fin de la période d'infraction pour son analyse de la sanction parce que c'est à ce moment-là que le RAT a été identifié et contenu, et non parce que toutes les questions d'enquête étaient résolues.

Octobre 2018: l'intrusion historique devient visible.Les enquêteurs ont identifié des preuves de Mimikatz et de logiciels malveillants de capture de mémoire et ont retracé une présence non autorisée remontant à juillet 2014. Marriott a contacté le FBI le 29 octobre. À ce stade, selon le témoignage de l'entreprise devant le Sénat, les enquêteurs disposaient de preuves d'une longue intrusion mais n'avaient pas encore trouvé de preuve que les données clients de la base de réservation avaient été consultées.

13-19 novembre: des fichiers supprimés deviennent la preuve de l'exportation de données clients.Le 13 novembre, les enquêteurs ont trouvé des traces de deux fichiers compressés, cryptés et supprimés. Ils les ont décryptés le 19 novembre et y ont trouvé des exportations de tables de profils clients et de passeports. C'est à cette date que Marriott affirme avoir déterminé que les fichiers contenaient des informations personnelles provenant de la base de données de réservation des clients Starwood. La distinction entre l'anomalie de septembre et la confirmation de novembre explique le délai d'enquête sans prouver en soi que chaque décision de notification était opportune.

22-30 novembre: notification réglementaire et divulgation publique.Marriott a notifié l'ICO le 22 novembre. Elle a trouvé des preuves de copies historiques supplémentaires de tables les 25 et 26 novembre, a informé les réseaux de cartes de paiement et une série d'autorités, et a annoncé l'incident publiquement le 30 novembre. Son avis initial indiquait que la base de données se trouvait aux États-Unis et contenait des enregistrements relatifs à des réservations dans des établissements Starwood le 10 septembre 2018 ou avant. (Avis d'incident de Marriott de novembre 2018)

18-31 décembre 2018: mise hors service.Sorenson a déclaré que Marriott avait cessé d'utiliser la base de données de réservation des clients Starwood pour ses activités opérationnelles le 18 décembre. La mise à jour de janvier de Marriott a décrit l'arrêt comme effectif à la fin de l'année. La mise hors service a mis fin à son rôle dans les réservations en direct, mais une mise hors service sécurisée nécessite également la disposition des copies, des identifiants, des clés, des images d'investigation, des sauvegardes et des obligations légales de conservation. Le registre public ne fournit pas de registre complet de destruction.

2019-2020: changements de portée et sanction finale au Royaume-Uni.Marriott a révisé ses chiffres en janvier et dans son rapport annuel. L'ICO a émis un avis d'intention en juillet 2019 proposant 99 200 396 £. Après les observations écrites de Marriott, la consultation avec d'autres autorités européennes, l'analyse des mesures d'atténuation et un ajustement lié au COVID-19, la sanction finale a été de 18,4 millions de livres sterling le 30 octobre 2020. Marriott a déclaré qu'elle ne ferait pas appel mais n'a admis aucune responsabilité. (Réponse de Marriott à la décision finale de l'ICO)

Avril 2024: une description cryptographique vieille de cinq ans change.Marriott a ajouté une mise à jour à ses avis de 2018 et 2019: les numéros de carte de paiement et certains numéros de passeport qu'elle avait décrits comme protégés par un chiffrement AES-128 étaient en réalité protégés par SHA-1. Cette correction ne change pas le fait de l'accès non autorisé. Elle change la manière dont les lecteurs doivent interpréter les anciennes déclarations sur le chiffrement et les clés.

Octobre-décembre 2024: des résolutions parallèles aux États-Unis deviennent exécutoires.Une coalition de 50 procureurs généraux a annoncé un accord de 52 millions de dollars couvrant 131,5 millions de dossiers clients associés aux États-Unis et des garanties à long terme. La FTC a annoncé un accord de consentement parallèle en octobre et a finalisé sa décision et son ordonnance le 20 décembre. L'affaire de la FTC portait sur trois violations de 2014 à 2020, de sorte que toutes les allégations ou mesures correctives de cette procédure ne concernent pas exclusivement l'incident de la base de réservation Starwood.

2025-2026: les litiges privés restent une voie distincte.En juin 2025, la Cour d'appel du quatrième circuit a appliqué une renonciation aux recours collectifs et a infirmé la certification des catégories contre Marriott; elle n'a pas statué sur les demandes de violation sous-jacentes après un procès. (Avis du quatrième circuit) Le formulaire 10-K de Marriott déposé le 10 février 2026 indique que certains plaignants ont intenté des actions individuelles à New York, que les discussions de médiation se sont poursuivies dans le litige multidistrict fédéral, que les affaires canadiennes ont été effectivement consolidées en Ontario et que Marriott conteste les allégations. (Marriott - Formulaire 10-K 2025)

Les chiffres sont des enregistrements, des personnes, des régions et des populations procédurales

Aucun chiffre de violation unique ne peut valoir en toute sécurité pour tous les usages. Les estimations de Marriott ont changé au fur et à mesure que les enquêteurs dédoublonnaient et classifiaient les tables. Les régulateurs et les tribunaux ont ensuite utilisé différentes populations liées à leur juridiction ou à leur procédure.

Date et sourcePopulationCe que signifie le chiffreCe qu'il ne signifie pas
Avis de Marriott du 30 novembre 2018Jusqu'à environ 500 millions de clients; environ 327 millions avec une combinaison plus large de champsPlafond public préliminaire avant la fin de l'analyse des doublonsUn décompte vérifié de personnes uniques ou de personnes ayant toutes perdu les mêmes champs
Mise à jour de Marriott du 4 janvier 2019Environ 383 millions d'enregistrements comme limite supérieure; moins de clients uniquesEstimation révisée de l'entreprise après un certain dédoublonnage383 millions de personnes distinctes
Avis de sanction de l'ICO 2020339 millions d'enregistrements de clients dans le monde; 30,1 millions associés à des États de l'EEE; 7 millions associés au Royaume-UniPopulation utilisée dans le dossier final d'application du RGPDUn décompte qui peut être ajouté au plafond de 383 millions; les enregistrements régionaux sont des sous-ensembles
Accord multi-États 2024131,5 millions d'enregistrements concernant des clients américainsPopulation associée aux États-Unis utilisée par les ÉtatsLe total mondial ou un décompte de demandeurs individuels ayant reçu une indemnisation
Avis du quatrième circuit 2025Environ 133,7 millions d'enregistrements de clients dans le compte rendu du litigePopulation utilisée pour décrire l'affaire des consommateursUn jugement sur le fond selon lequel chaque enregistrement a produit un préjudice indemnisable

La différence entre un enregistrement et une personne n'est pas une coquetterie éditoriale. Un client peut avoir plusieurs séjours, adresses, compagnons, entrées de fidélité ou profils dupliqués. Différentes tables peuvent identifier la même personne de manière incohérente. Marriott a déclaré au Sénat qu'elle ne pouvait pas déterminer avec certitude si des noms et adresses correspondants ou similaires appartenaient à une ou plusieurs personnes. Un inventaire de données défendable devrait résoudre une grande partie de ce problème d'identité avant un incident, et non découvrir au moment de la notification qu'il est incapable d'indiquer combien de personnes il détient.

Les catégories variaient également. Le premier avis de Marriott indiquait qu'environ 327 millions d'enregistrements contenaient une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations Starwood Preferred Guest, date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Certains incluaient le numéro de carte de paiement et la date d'expiration. Le reste était décrit comme nom plus, dans certains cas, un autre champ tel que l'adresse ou l'e-mail. « Une certaine combinaison » est un avertissement contre le fait de traiter chaque champ listé comme présent pour chaque client.

Le compte rendu au niveau des tables de l'ICO ajoute des détails opérationnels. Une table de partage de réservation comprenait des identifiants de clients et de fidélité, des indicateurs VIP, le pays et le numéro du passeport, les informations d'arrivée et de départ, les coordonnées, le numéro de vol, le code de la compagnie aérienne, le statut d'enregistrement et le nombre de clients dans une chambre. Une autre table comprenait le type de chambre, le nombre d'adultes et d'enfants, et les demandes de lits bébé ou d'appoint. Ces champs peuvent révéler le contexte du ménage et du voyage même sans justificatif financier.

Les chiffres concernant les passeports et les cartes de paiement ont également évolué. La mise à jour de Marriott du 4 janvier 2019 a répertorié environ 5,25 millions de numéros de passeport non chiffrés et 20,3 millions de numéros de passeport alors décrits comme chiffrés. Elle a répertorié environ 8,6 millions de cartes de paiement alors décrites comme chiffrées, dont 354 000 n'étaient pas expirées en septembre 2018, et moins de 2 000 valeurs de 15 ou 16 chiffres dans d'autres champs pouvant être des numéros de carte non chiffrés. (Mise à jour de Marriott de janvier 2019)

Dans le formulaire 10-K 2018 et le témoignage de mars 2019, l'entreprise a fait état d'environ 18,5 millions de numéros de passeport protégés, 9,1 millions de cartes de paiement protégées et 385 000 cartes non expirées en septembre 2018. Elle a indiqué que les données pouvaient inclure plusieurs milliers de numéros de carte de paiement non chiffrés. Le rapport annuel a également enregistré 28 millions de dollars de dépenses liées à l'incident en 2018, partiellement compensées par 25 millions de dollars de recouvrements d'assurance provisionnés; ces écritures comptables mesurent les coûts de réponse, pas le préjudice subi par les clients. (Marriott - Formulaire 10-K 2018)

La présentation correcte est donc un ensemble d'estimations limitées, et non une compétition pour choisir le chiffre le plus grand ou le plus récent. Il est également important de préserver l'incertitude dans les deux sens. Les enregistrements en double rendent le nombre de personnes uniques inférieur aux totaux d'enregistrements. Des fichiers inconnus ou non récupérés, une télémétrie historique incomplète et des champs de texte libre peuvent rendre plus difficile une reconstruction précise au niveau des champs.

Ce que l'ICO a constaté, et ce qu'elle a délibérément omis de constater

L'avis de sanction de l'ICO est le dossier réglementaire public le plus solide concernant les défaillances de sécurité dans l'environnement de réservation Starwood. Il est également plus étroit que ce que de nombreux résumés laissent entendre.

Premièrement, l'ICO a constaté que Marriott, en tant que responsable du traitement, avait enfreint l'article 5(1)(f) et l'article 32 du RGPD en ne traitant pas les données personnelles avec une sécurité appropriée. La décision couvrait la période du 25 mai au 17 septembre 2018. Letexte officiel du RGPDfait de la sécurité une obligation fondée sur le risque: les mesures appropriées dépendent de l'état de l'art, du coût de mise en œuvre, du contexte du traitement et des risques pour les droits et libertés des personnes. L'obligation n'est pas une garantie qu'aucun attaquant ne réussira. C'est une obligation de mettre en œuvre et de tester des mesures appropriées aux données et au système réels.

Deuxièmement, l'avis final a identifié quatre défaillances principales.

Surveillance insuffisante des comptes privilégiés.L'attaquant a utilisé des identifiants légitimes pour une activité non autorisée. L'ICO a constaté que Marriott ne disposait pas d'une surveillance continue appropriée de l'activité des utilisateurs, en particulier des comptes privilégiés, à l'intérieur de l'environnement des données de cartes. Marriott avait un centre d'opérations de sécurité, des tests de pénétration annuels et des rapports de conformité aux normes de l'industrie des cartes de paiement. Le régulateur a conclu que ces contrôles n'évaluaient pas les configurations de journalisation pertinentes et ne remplaçaient pas la nécessité de détecter une utilisation anormale après l'authentification.

Surveillance insuffisante des bases de données.Guardium a journalisé et alerté sur certaines activités, mais l'ICO a constaté une alerte de base de données incomplète, une agrégation insuffisante des journaux et l'absence de journalisation d'actions telles que la création de fichiers et l'exportation de tables complètes. L'alerte qui a finalement importé était appliquée à une table contenant des données de cartes. D'autres tables de données personnelles ne disposaient pas d'alertes équivalentes. La sensibilité des cartes de paiement peut justifier des contrôles plus stricts, mais le régulateur a déclaré que cela ne justifiait pas l'absence d'alerte sur d'autres données personnelles.

Contrôle inadéquat des systèmes critiques.L'ICO a constaté qu'un durcissement approprié des serveurs, tel qu'un contrôle d'exécution ou une liste blanche équivalente sur les systèmes critiques, aurait pu limiter la reconnaissance, l'escalade des privilèges et l'exécution de logiciels malveillants. La décision n'a pas prescrit de liste blanche partout. Elle s'est concentrée sur les appareils et systèmes critiques capables d'atteindre des stocks importants ou sensibles de données personnelles.

Défaut de chiffrement de tous les numéros de passeport.Environ 5,25 millions de numéros de passeport n'étaient pas chiffrés. L'ICO n'a trouvé aucune évaluation des risques documentée expliquant pourquoi certains numéros de passeport bénéficiaient d'une protection cryptographique et d'autres non. Son argument plus large n'était pas que chaque champ doive toujours être chiffré. Il s'agissait que la protection sélective nécessite une justification fondée sur des preuves et une mise en œuvre significative.

La correction SHA-1 de 2024 complique le langage technique de la dernière constatation. L'avis de sanction parlait d'AES-128 sur la base du dossier dont il disposait alors. Marriott a déclaré plus tard que les numéros de carte de paiement et certains numéros de passeport dans les tables étaient plutôt protégés par SHA-1. Cette déclaration ultérieure doit remplacer l'ancienne description de l'algorithme pour ces sous-ensembles; elle n'efface pas la constatation de l'ICO selon laquelle des millions de numéros de passeport étaient laissés non chiffrés ni sa conclusion selon laquelle Marriott n'avait pas démontré d'évaluation cohérente des risques.

Les exclusions sont tout aussi importantes.

L'ICO n'apassanctionné Marriott pour une couverture incomplète de l'authentification multifacteur. Marriott s'était appuyée sur des assurances de la direction et des rapports de conformité PCI de 2016 et 2017 indiquant que l'authentification multifacteur protégeait l'accès à l'environnement segmenté des données de cartes. La mise en œuvre était en réalité incomplète, mais après avoir examiné les observations de Marriott, l'ICO a accepté cette confiance pour l'objectif spécifique qui lui était soumis et a retiré l'authentification multifacteur des constatations finales de la sanction. Un compte rendu prudent peut encore discuter de la lacune opérationnelle; il ne peut pas qualifier cette lacune de l'une des quatre infractions finales de l'ICO.

L'ICO n'apasrendu de constatation finale d'infraction à l'article 33 sur la notification des violations. Elle a rejeté une partie du raisonnement juridique de Marriott sur la prise de conscience, mais a pris en compte l'alerte limitée de septembre, l'absence de connaissance par Marriott de l'exportation de la table jusqu'au 13 novembre et le décryptage le 19 novembre, puis a abandonné la constatation proposée. Elle n'a également renduaucune constatation finale au titre de l'article 34concernant la communication aux personnes concernées. Le régulateur a critiqué un e-mail qui faisait référence à un centre d'appel sans inclure le numéro de téléphone, mais a accepté que l'e-mail renvoie au site dédié où le numéro était disponible.

L'ICO n'apasdécidé que la diligence raisonnable de Marriott avant la clôture était juridiquement insuffisante. Elle a reconnu qu'une diligence approfondie d'un concurrent peut être limitée et a exclu les comportements antérieurs au RGPD de la décision. Elle a conclu que la diligence raisonnable n'est pas un événement ponctuel et que Marriott ne pouvait pas continuer à traiter des données sous le RGPD sur des systèmes hérités déficients simplement parce que les faiblesses étaient antérieures à la loi ou à l'acquisition.

Enfin, le chiffre de 18,4 millions de livres sterling ne doit pas être confondu avec la proposition de 2019. L'avis final a pris en compte les observations de Marriott, sa réponse rapide après l'alerte, sa coopération, l'absence de preuve de préjudice financier constatée par l'ICO, d'autres facteurs atténuants et l'impact du COVID-19. Marriott n'a pas fait appel. Sa déclaration de non-admission coexiste avec une décision finale du régulateur qui a expressément constaté des infractions. « Aucune admission » décrit la position procédurale de Marriott; cela ne transforme pas les constatations de l'ICO en allégations.

La correction de 2024 transforme la gestion des clés en un problème d'inventaire

L'avis initial de Marriott indiquait que les valeurs des cartes de paiement étaient chiffrées avec AES-128 et nécessitaient deux composants pour être déchiffrées; à l'époque, la société ne pouvait pas exclure que les deux aient été emportés. La mise à jour de janvier 2019 indiquait qu'il n'y avait aucune preuve que l'attaquant ait eu accès à la clé principale nécessaire pour les numéros de passeport protégés ou à l'un des composants nécessaires pour les numéros de carte protégés. Dans son témoignage de mars, Sorenson a déclaré que Marriott n'avait pas trouvé de preuve d'accès à la clé principale mais ne pouvait pas l'exclure.

Ces déclarations présentaient le risque comme étant du texte chiffré plus une éventuelle compromission de la clé. La mise à jour d'avril 2024 de Marriott a changé le cadre: les numéros de carte de paiement et certains numéros de passeport dans les tables concernées étaient protégés par SHA-1 plutôt que par AES-128. SHA-1 est une fonction de hachage, pas un système de chiffrement. Le NIST décrit un hachage comme une mise en correspondance de données avec un condensé de taille fixe et a progressivement abandonné SHA-1 pour la protection cryptographique. (Aperçu des fonctions de hachage du NIST,Avis de transition SHA-1 du NIST)

Cette distinction est importante. Le chiffrement est conçu pour être réversible avec un secret ou un processus autorisé. Le hachage est normalement utilisé pour produire un condensé et n'est pas « déchiffré » avec la clé principale décrite dans les avis précédents. Mais la correction publique ne divulgue pas si les valeurs étaient salées, clées, tronquées, tokénisées dans une autre couche, associées à des tables de correspondance ou autrement transformées. Elle n'identifie pas non plus les sous-ensembles exacts de passeports et de cartes auxquels SHA-1 s'appliquait ni ne dit si quelqu'un a récupéré les identifiants sous-jacents à partir de ces valeurs. Il serait irresponsable de fabriquer ces détails.

La constatation de responsabilité est plus étroite et néanmoins significative: cinq ans après la divulgation, la description publique d'un mécanisme de protection central a changé de catégorie. Cela suggère une défaillance de l'inventaire cryptographique, de la traduction des preuves ou des deux. Une organisation devrait savoir, par champ et copie, si les données sont en clair, chiffrées, tokénisées ou hachées; quel algorithme et quel mode s'appliquent; où résident les clés ou les secrets; qui peut les invoquer; quel est l'état de la migration; et comment ces faits ont été testés.

Cela est particulièrement important lors d'une acquisition. Un document de politique indiquant que « les champs sensibles sont chiffrés » n'est pas un inventaire au niveau des champs. Un rapport de conformité PCI n'est pas la preuve que chaque champ de passeport dans chaque table héritée reçoit le même traitement. Un nom d'algorithme dans un avis d'incident n'est pas fiable tant que les enquêteurs n'ont pas retracé le code de l'application, la configuration du schéma, les services de clés, les valeurs stockées et les versions historiques.

Une bonne gestion des clés ne peut pas non plus compenser une utilisation non contrôlée par une application autorisée. Si un attaquant contrôle un compte privilégié ou un processus de base de données qui peut demander du texte en clair, le chiffrement au repos peut offrir peu de protection lors de requêtes en direct ou d'exportations. L'ICO a fait ce point indirectement: l'authentification multifacteur à la frontière extérieure n'a pas supprimé le besoin de journalisation à l'intérieur, et le chiffrement dépendait d'une architecture et d'une gestion des clés significatives. Les contrôles doivent être superposés autour de l'utilisation, et non simplement attachés au stockage.

Les données aux États-Unis restaient régies par des personnes et des lois ailleurs

Le premier avis de Marriott indiquait que la base de données de réservation des clients Starwood se trouvait aux États-Unis. Les enregistrements étaient mondiaux. L'ICO a dénombré 30,1 millions d'enregistrements associés à des États de l'EEE et 7 millions associés au Royaume-Uni. Les États ont ensuite utilisé 131,5 millions d'enregistrements associés aux États-Unis. La localisation physique de la base de données répondait donc à une question: où un système particulier fonctionnait. Elle ne répondait pas à qui étaient les personnes, quels établissements traitaient leurs données, quelles autorités avaient compétence, ou quel hôtel, franchisé, fournisseur de services et équipe d'entreprise pouvait y accéder.

La souveraineté et la localité des données doivent être séparées en au moins quatre couches.

Localité de stockagedésigne l'endroit où résident les bases de données primaires, les réplicas, les sauvegardes, les fichiers d'exportation, les journaux et les copies d'investigation. Le dossier public identifie la base de données de réservation comme étant basée aux États-Unis mais ne fournit pas de carte complète de chaque copie ou sauvegarde.

Localité d'accèsdésigne l'endroit où les utilisateurs, les services et les administrateurs peuvent exercer une autorité sur les données. Accenture gérait la base de données; les opérations de Starwood et de Marriott s'étendaient sur de nombreux pays; les processus des hôtels et des centres de contact alimentaient le système de réservation. Une base de données peut rester sur du matériel américain tandis que l'accès privilégié et les décisions opérationnelles traversent les frontières.

Localité juridiquesuit les personnes, les établissements, le traitement et le droit applicable, et non seulement les racks. L'ICO a agi en tant qu'autorité de contrôle chef de file pour le traitement transfrontalier dans le cadre du mécanisme de coopération du RGPD. Les États américains ont fait valoir leurs propres lois sur la protection des consommateurs et les informations personnelles. Une base de données centrale peut donc accumuler un périmètre juridique distribué.

Localité commercialedésigne l'endroit où l'enregistrement a un sens. Les dates d'arrivée, les compagnons, le statut VIP, la compagnie aérienne et l'emplacement de l'hôtel sont liés aux déplacements et aux relations du voyageur. Les centraliser peut favoriser un service mondial, mais cela crée également une description concentrée de l'activité à travers les juridictions.

La déclaration de confidentialité mondiale actuelle de Marriott indique que le transfert international est essentiel à son service mondial, que les données peuvent être transférées vers des pays ayant des normes de protection différentes et que des mécanismes de transfert approuvés sont utilisés le cas échéant. Elle énonce également des critères de conservation fondés sur la finalité et la loi. (Déclaration de confidentialité mondiale du groupe Marriott) C'est une preuve utile du modèle de gouvernance actuel, pas une preuve de l'architecture Starwood de 2014-2018 ou de la conformité historique.

La leçon n'est pas que les données de réservation mondiales doivent toujours rester dans le pays du voyageur. Les preuves soutiennent une règle plus pratique: un responsable du traitement mondial a besoin d'une carte au niveau des enregistrements reliant la finalité, la personne, la source, le stockage, l'accès, le mécanisme de transfert, la conservation, les contrôles de sécurité et l'entité juridique responsable. Sans cette carte, « la base de données est aux États-Unis » devient un fait de localisation présenté comme s'il s'agissait d'une réponse de gouvernance.

L'enregistrement exposé a réduit le coût d'un contact convaincant

Les cartes de paiement et les passeports attirent immédiatement l'attention parce que ce sont des instruments d'identité et financiers familiers. Les tables Starwood contenaient également une source de préjudice plus silencieuse: les ingrédients d'un contact crédible.

Un message d'hameçonnage ordinaire paie une taxe de crédibilité. L'expéditeur doit persuader le destinataire que le message concerne une relation, un événement ou une transaction réels. Un ensemble de données de réservation peut réduire ce coût. Un message peut nommer une marque d'hôtel, un séjour approximatif, une relation de fidélité, une fenêtre d'arrivée, une destination, un contexte de compagnon, une préférence de communication ou un vol. Les coordonnées fournissent l'itinéraire; les détails du voyage fournissent le prétexte; les champs de statut et de préférence aident à choisir le ton.

C'est l'économie du contact abusif. L'enregistrement n'a pas besoin de permettre à un attaquant d'ouvrir directement un compte bancaire pour être utile. Il peut rendre la prochaine demande moins chère à personnaliser et plus difficile à rejeter pour le destinataire. La CISA définit le spearphishing comme le ciblage d'un individu avec des informations clés sur cette personne. (Guide de la CISA sur l'hameçonnage) L'alerte aux consommateurs de la FTC concernant Marriott avertissait que des escrocs pourraient exploiter l'annonce de la violation elle-même en se faisant passer pour Marriott et en dirigeant les destinataires vers de faux sites. (Conseils de la FTC sur la violation de Marriott)

La base de données combinait plusieurs voies d'abus:

  • Un nom, un e-mail et un numéro de téléphone réduisent le coût de découverte et permettent de passer de l'e-mail au SMS ou à la voix.
  • Les détails de réservation et de séjour fournissent une histoire plausible de problème de service, de remboursement, de facture, d'ajustement de fidélité ou d'avertissement de sécurité.
  • Les données d'arrivée, de départ, de compagnie aérienne et de localisation peuvent rendre l'urgence contemporaine.
  • Les identifiants de fidélité créent une deuxième classe d'actifs: points, accès au compte et une relation client à long terme.
  • Les numéros de passeport et les dates de naissance peuvent renforcer les tentatives d'usurpation d'identité ou fournir des fragments de vérification, même si un numéro de passeport seul n'est pas un passeport physique.
  • Le statut VIP, l'employeur ou le contexte de préférence peuvent aider à hiérarchiser les cibles ou à adapter un contact de type exécutif.
  • Le nombre de compagnons et d'enfants peut exposer un contexte relationnel que la personne concernée ne s'attendait pas à voir utilisé en dehors des opérations d'accueil.

Il s'agit de mécanismes d'abus plausibles étayés par les champs et les orientations générales sur la fraude. Ils ne prouvent pas qu'une campagne nommée ait utilisé les enregistrements Starwood. En mars 2019, Sorenson a témoigné que Marriott n'avait pas reçu de réclamations de pertes de fraude étayées attribuables à l'incident et n'avait pas trouvé les tables concernées mises en vente dans sa surveillance. L'ICO a par la suite déclaré n'avoir vu aucune preuve de préjudice financier. La plainte de la FTC, en revanche, alléguait que les enregistrements détaillés causaient ou étaient susceptibles de causer un préjudice substantiel, y compris l'hameçonnage, l'usurpation d'identité et la charge de la surveillance et du remplacement des justificatifs. La différence est en partie due à la posture juridique et en partie au temps: l'absence d'utilisation abusive observée n'est pas une preuve d'absence d'exposition, mais un préjudice probable n'est pas une preuve de fraude avérée.

L'économie du contact affecte également la notification. Marriott devait envoyer des e-mails aux clients concernés, mais l'existence même d'une campagne de notification largement médiatisée a créé un prétexte pour les imposteurs. Les véritables avis de l'entreprise devaient être distinguables, multilingues et accessibles par des canaux indépendamment vérifiables. La discussion de l'ICO sur l'omission du numéro de centre d'appel montre que la qualité de la notification est un contrôle de sécurité, pas un accessoire de relations publiques.

Le remède à plus long terme est la minimisation des données. Si un champ n'est plus nécessaire pour le service, la loi, la prévention de la fraude ou une finalité opérationnelle définie, sa conservation maintient une subvention pour les attaquants. L'ordonnance finale de la FTC exige une politique de conservation liée à la finalité de la collecte et au besoin commercial spécifique, une voie de suppression pour les consommateurs américains et des limites à l'utilisation des informations supprimées à des fins de marketing. L'ordonnance transforme la surface d'abus réduite en une obligation de gouvernance.

Trois dossiers d'exécution, trois types de responsabilité différents

La sanction de l'ICO, l'accord des États et l'ordonnance de la FTC ne doivent pas être amalgamés en une seule amende indifférenciée.

Lasanction de l'ICOest une décision administrative finale constatant des infractions au RGPD pour une période définie en 2018. Elle a imposé 18,4 millions de livres sterling. Marriott n'a pas fait appel mais a déclaré n'admettre aucune responsabilité. La constatation, le calcul de la sanction et les exclusions sont contenus dans un avis de 91 pages.

L'accord multi-Étatsa résolu les allégations des États et a exigé un paiement de 52 millions de dollars. L'annonce du Connecticut indique que la coalition a allégué des violations des lois sur la protection des consommateurs, les informations personnelles et, le cas échéant, la notification des violations. Il exige un programme complet de sécurité de l'information, des principes de confiance zéro, un inventaire des actifs, un durcissement, un chiffrement, une segmentation, des correctifs, une surveillance, une supervision des fournisseurs et des franchisés, une suppression des consommateurs et des protections de fidélité, une évaluation des entités acquises et des examens indépendants biennaux pendant 20 ans. (Annonce de l'accord du procureur général du Connecticut) Les jugements enregistrés stipulent que Marriott n'admet ni violation ni responsabilité; le paiement de l'accord n'est pas un verdict de procès pour chaque personne affectée. (Jugement final du Vermont)

L'affaire de la FTCest une procédure administrative de consentement. La plainte allègue des représentations trompeuses en matière de sécurité et des pratiques de sécurité déloyales concernant la violation antérieure des points de vente de Starwood, la violation de la base de réservation de Starwood et un incident ultérieur d'identifiants Marriott divulgué en 2020. Les allégations de la plainte doivent être identifiées comme des allégations. La décision et l'ordonnance finales sont contraignantes, que chaque allégation ait été testée ou non devant un tribunal.

L'ordonnance finale de la FTCexige un programme de sécurité écrit, des évaluations des risques annuelles et post-incident, des rapports au conseil d'administration, un examen actif des journaux dans les 24 heures, des contrôles contre l'utilisation abusive d'identifiants valides, le moindre privilège, l'authentification multifacteur, le durcissement des configurations, un inventaire des actifs et des données personnelles, des décisions de chiffrement ou de protection équivalente, la gestion des correctifs, la segmentation et les tests de pénétration, les contrôles des fournisseurs, la supervision des franchisés, le signalement des incidents, la certification du PDG et des évaluations indépendantes tous les deux ans pendant 20 ans.

Une disposition rend la leçon de l'acquisition explicite. Après la clôture d'une acquisition d'une entité traitant des informations personnelles, Marriott doit évaluer si le programme de l'entité acquise est conforme à l'ordonnance, créer un plan et un calendrier pour les lacunes, et remédier aux déficiences des actifs informatiques acquis avant de les utiliser comme actifs de production de Marriott. Cela n'exige pas l'omniscience avant la clôture. Cela exige une admission contrôlée en production après la clôture.

L'ordonnance donne également aux consommateurs américains une voie de demande de suppression liée à l'adresse e-mail ou au numéro de compte de fidélité et exige que Marriott examine les activités de fidélité suspectes non autorisées et restaure les points lorsqu'il détermine qu'une activité non autorisée par un tiers a causé une réduction, sous réserve des termes de l'ordonnance. L'explication aux consommateurs de la FTCrend ces recours plus faciles à voir que le document juridique.

L'exécution ne prouve pas l'efficacité des contrôles actuels. Une ordonnance spécifie des obligations; un évaluateur teste la mise en œuvre; une certification attribue la responsabilité. Les lecteurs publics ne disposent toujours pas des rapports d'évaluation indépendants, des registres détaillés des exceptions ou de l'inventaire cryptographique au niveau des champs. Le rapport annuel 2025 de Marriott indique que les résolutions créent des exigences à long terme et que le non-respect pourrait entraîner de nouvelles mesures d'exécution. Il décrit également un comité de surveillance de la technologie et de la sécurité de l'information du conseil d'administration et des processus continus de cyber-risques. Ce sont des structures de gouvernance et des déclarations de l'entreprise, pas une opinion d'assurance publique.

Les litiges privés ajoutent une autre voie de responsabilité mais pas un verdict de responsabilité clair. La décision du quatrième circuit de 2025 portait sur l'applicabilité d'une renonciation aux recours collectifs dans les conditions de fidélité. La décertification modifie la manière dont les demandes peuvent être agrégées; elle ne décide pas si la sécurité était raisonnable, si une personne particulière a subi une perte ou si chaque demande individuelle échoue. Le dernier rapport annuel de Marriott indique qu'elle conteste les allégations et que les procédures se poursuivaient à la fin de 2025.

Un tableau de bord de contrôle post-acquisition

La question pertinente pour le conseil d'administration n'est pas « La diligence a-t-elle été effectuée? » mais « Quelles affirmations héritées ont été converties de manière indépendante en preuves opérationnelles? »

Question de contrôlePreuves publiques dans le dossier Marriott-StarwoodPreuves qu'un propriétaire responsable devrait pouvoir produire
Quels incidents et faiblesses sont antérieurs à la clôture?Starwood a divulgué une violation distincte des points de vente quatre jours après l'annonce de l'accord; la FTC a par la suite allégué que Marriott en avait examiné les causes.Lignée d'incidents signée, éléments de remédiation ouverts, portée médico-légale, faits contestés et plan de validation post-clôture.
Quelles identités survivent à la transaction?L'attaquant de la base de réservation a utilisé des identifiants privilégiés et utilisateur; des identifiants Accenture sont apparus dans une activité ultérieure.Inventaire complet des comptes privilégiés, de service, de fournisseur et dormants; preuve de réémission ou de rotation; propriétaire et expiration pour chaque exception.
L'environnement acquis peut-il détecter un comportement après une connexion valide?L'ICO a constaté une surveillance insuffisante des utilisateurs privilégiés et des bases de données malgré un SOC, un SIEM et des évaluations de conformité.Couverture des sources de journaux, lignes de base d'activité, alertes d'exportation, cas d'usage testés, conservation et réponse mesurée des analystes.
Un processus peut-il exporter une table sensible entière?Les exportations de fichiers de vidage ont été au cœur de l'incident; seules certaines tables ont généré des alertes Guardium.Politique de surveillance de l'activité des bases de données, seuils d'exportation en masse, double autorisation, contrôles de sortie et exercices prouvant que les alertes parviennent aux intervenants.
Les systèmes critiques sont-ils durcis contre les logiciels malveillants et la reconnaissance?L'ICO a constaté un contrôle inadéquat des systèmes critiques et a identifié une liste blanche ou un durcissement équivalent comme approprié.Lignes de base de configuration, couverture de l'application, vieillissement des exceptions, détection de dérive et tests de contournement tenté.
Que signifie « chiffré » pour chaque champ?Des millions de numéros de passeport étaient en clair; en 2024, Marriott a corrigé les descriptions AES-128 en SHA-1 pour les cartes et certains passeports.Classification au niveau du schéma, méthode et version, architecture de sel ou de clé le cas échéant, propriétaire cryptographique, preuve de rotation et de migration.
La séparation réduit-elle réellement le risque?Les systèmes Starwood hérités sont restés séparés du réseau Marriott plus large, limitant l'accès aux données non-Starwood mais ne protégeant pas les enregistrements Starwood.Chemins de confiance testés, restrictions de sortie, frontières administratives, surveillance des deux côtés et portes d'intégration explicites.
L'organisation peut-elle compter les personnes, pas seulement les lignes?Les totaux publics sont passés de 500 millions de clients à 383 millions d'enregistrements puis à d'autres populations spécifiques aux procédures.Logique d'identité dédoublonnée, lignage des données, intervalles de confiance, mappage des champs par personne et ensembles de données de notification répétés.
Où chaque enregistrement est-il régi?Une base de données américaine contenait des enregistrements mondiaux; l'ICO, les États américains et d'autres autorités avaient des intérêts.Localité de stockage et de sauvegarde, géographie d'accès, entité juridique, mécanisme de transfert, région du sujet des données et carte des régulateurs.
La mise hors service est-elle un programme de sécurité ou seulement une date de migration?Marriott a mis fin à l'utilisation commerciale de la base de données Starwood en décembre 2018.Plan de mise hors service couvrant les copies, les interfaces, les comptes, les secrets, le matériel, les obligations légales de conservation, les sauvegardes et les attestations de destruction.
Une future acquisition peut-elle entrer en production sans lacunes héritées?Les ordonnances de la FTC et des États exigent désormais une évaluation post-acquisition et une planification de la remédiation.Critères de mise en service, acceptation des risques signée au niveau approprié, contrôles compensatoires, délais et tests de clôture indépendants.
Des tiers peuvent-ils vérifier la remédiation?La FTC exige une évaluation indépendante biennale et une certification du PDG; les rapports ne sont généralement pas publics.Preuves prêtes pour le régulateur et, lorsque c'est sûr, des indicateurs publics agrégés sur la couverture, les exceptions, les constatations et la clôture.

Ce tableau de bord ne suppose pas que chaque contrôle était absent partout. Il traduit les modes de défaillance documentés en questions de preuve. Cela représente une norme plus exigeante qu'une liste de contrôle de politique car elle demande si les systèmes hérités se comportent comme la direction le croit.

La responsabilité se situe là où le contrôle pratique change

Le ou les intrus inconnus sont responsables de l'entrée non autorisée, de la persistance et de l'exportation. Cette responsabilité ne doit pas être réaffectée à l'organisation victime simplement parce que les régulateurs examinent les mesures de protection. La responsabilité de l'entreprise répond à une question différente: qui contrôlait les conditions qui rendaient l'accès plus difficile à prévenir, à détecter ou à contenir, et qui contrôlait la réponse?

Starwood contrôlait l'environnement au moment de la compromission initiale. Marriott ne le contrôlait pas. Starwood a également apporté dans la transaction l'historique de sécurité antérieur des points de vente. Ces faits comptent lorsqu'on reconstitue la causalité.

Marriott contrôlait l'entreprise acquise après septembre 2016. Elle a choisi de maintenir la plateforme de réservation Starwood pendant la migration, même pour des raisons de continuité compréhensibles. Elle contrôlait le rythme et les conditions du renforcement de la sécurité, de l'intégration et de la mise hors service. Les conclusions juridiques de l'ICO commencent plus tard, le 25 mai 2018, mais le contrôle opérationnel a commencé à la clôture.

Accenture gérait la base de données de réservation et a remonté l'alerte Guardium. Les documents publics identifient également des identifiants Accenture compromis. Ces faits établissent un rôle important de fournisseur de services, pas une attribution complète de la faute contractuelle ou légale. Le litige privé comprenait des demandes contre Accenture, mais cet article ne traite pas les allégations non résolues comme des jugements.

Les conseils d'administration et la haute direction contrôlaient l'acceptation des risques et les demandes de preuves. Sorenson a déclaré avoir appris l'existence du RAT le 17 septembre et le conseil a été informé le lendemain. L'ordonnance ultérieure de la FTC exige désormais une visibilité annuelle du conseil et des rapports d'incidents, tandis que la certification du PDG crée un canal de responsabilité direct. La gouvernance, ce n'est pas le conseil qui fait fonctionner un SIEM; c'est le conseil qui exige la preuve que les risques hérités à fort impact ont des propriétaires, des délais et une clôture vérifiée.

Les régulateurs contrôlaient différents recours. L'ICO a appliqué un cadre transfrontalier de protection des données et a émis une sanction motivée. Les procureurs généraux des États ont obtenu de l'argent, des droits pour les consommateurs et des garanties détaillées. La FTC a imposé un programme et un régime d'évaluation de longue durée mais a déclaré ne pas avoir le pouvoir d'obtenir une sanction civile dans cette affaire. Des pouvoirs juridiques différents produisent des résultats de responsabilité différents.

Les clients ne contrôlaient presque aucune des conditions antérieures à la violation. Ils ne pouvaient pas inspecter la couverture de la journalisation, savoir que les champs de passeport avaient une protection incohérente, voir qu'un attaquant utilisait des identifiants privilégiés ou choisir si le système hérité restait en service. La surveillance post-violation, le remplacement des cartes et la prudence face à l'hameçonnage leur transfèrent le travail. Les droits de suppression et de révision de la fidélité aident, mais ils arrivent après que l'organisation a choisi l'architecture des données.

Ce que l'on peut conclure, et ce qui reste en dehors du dossier public

Les preuves publiques soutiennent une conclusion ferme que l'environnement de réservation Starwood est resté compromis pendant toute l'acquisition et que Marriott n'a pas détecté l'intrus pendant près de deux ans après la clôture. Elles soutiennent les quatre constatations de l'ICO au titre du RGPD pour la période définie de 2018. Elles soutiennent le fait de populations d'enregistrements mondiales vastes et mixtes, les accords américains de 2024 et les garanties exécutoires qui en résultent.

Elles n'identifient pas l'attaquant par un jugement pénal public. Des articles de presse ont évoqué des théories d'acteur étatique, mais les documents officiels examinés décrivent un attaquant inconnu ou des acteurs malveillants. L'attribution doit rester non revendiquée en l'absence d'un acte d'accusation public ou d'une preuve autorisée équivalente.

Elles ne montrent pas exactement quelle vulnérabilité initiale a été exploitée, chaque hôte atteint, chaque fichier supprimé ou chaque personne dont les données ont été consultées. Elles ne divulguent pas le rapport d'enquête complet de Verizon, le rapport d'enquête sur les cartes de paiement, les évaluations de conformité indépendantes ou l'ensemble complet des journaux historiques.

Elles n'établissent pas que chaque client affecté a subi une fraude, qu'aucun client n'a subi de préjudice, ou que chaque combinaison de données avait une valeur égale. L'observation de Marriott en 2019 d'aucune fraude étayée attribuable et l'absence de préjudice financier constatée par l'ICO sont des preuves. Il en va de même des risques inhérents d'usurpation d'identité et de contact ciblé reconnus par la FTC. La conclusion honnête préserve les deux.

Elles ne renseignent pas suffisamment le public sur la mise en œuvre de SHA-1 pour estimer la récupérabilité de valeurs spécifiques de cartes ou de passeports. La correction établit une classification erronée de la méthode de protection, pas les détails de configuration manquants.

Elles ne prouvent pas que le programme actuel de Marriott est inefficace. Les politiques, les comités, les dépenses, les accords réglementaires ou une base de données mise hors service ne prouvent pas non plus que tous les contrôles qui ont succédé sont efficaces. Cette question relève des tests opérationnels et des évaluations indépendantes.

La leçon de la fusion est la propriété de l'incertitude

La leçon la plus forte de Marriott et Starwood n'est pas que les entreprises devraient renoncer aux acquisitions impliquant une technologie héritée. Presque chaque grande transaction comporte des systèmes inconnus, des enregistrements inégaux et des exceptions héritées. Ce n'est pas non plus que la continuité doive être sacrifiée pour mettre hors service chaque plateforme acquise immédiatement. Le transfert de 1 270 hôtels tout en préservant les réservations était une contrainte opérationnelle réelle.

La leçon est que l'incertitude elle-même devient un risque dont on est propriétaire à la clôture. Un acheteur peut reconnaître un accès limité avant la clôture sans accepter une ambiguïté indéfinie après la clôture. Il peut isoler un réseau hérité sans confondre l'isolement avec la sécurité. Il peut maintenir une base de données héritée temporairement sans lui accorder des normes temporaires. Il peut s'appuyer sur des rapports de conformité tout en testant les contrôles que ces rapports ne couvrent pas. Il peut décrire la cryptographie seulement après avoir retracé la mise en œuvre réelle au niveau des champs.

La base de données Starwood contenait un modèle d'affaires en miniature: identité, contact, fidélité, paiement et mouvement assemblés pour faire fonctionner l'hôtellerie au-delà des frontières. Ce même assemblage rendait les abus plus économiques et la responsabilité juridique plus distribuée. Sa localisation physique aux États-Unis n'a pas localisé les personnes, les préjudices ou les obligations. Son statut d'héritage n'a pas suspendu les obligations du responsable du traitement.

L'ordonnance de la FTC de 2024 inscrit maintenant le principe d'acquisition dans un langage exécutoire: évaluer l'entité acquise après la clôture, planifier en fonction des lacunes identifiées et remédier aux déficiences avant que les actifs acquis n'entrent dans la production de Marriott. Cette règle est plus étroite que l'omniscience et plus forte que le théâtre de la diligence. Elle demande au propriétaire de convertir les déclarations en preuves avant que la confiance ne s'étende.

Marriott a acheté les marques, les hôtels, les relations de fidélité et les systèmes de Starwood. Elle a également acheté la charge de découvrir ce que ces systèmes faisaient réellement. Le dossier de la violation montre à quel point la distance entre la croyance architecturale et la vérité opérationnelle peut devenir coûteuse. La responsabilité commence par combler cette distance avant que la prochaine alerte ne doive le faire.