Récemment, le watchdog britannique du RGPD, à savoir l’ICO (Information Commissioner’s Office), a annoncé son intention d’infliger des amendes massives et sans précédent concernant toute violation de données. Le 8 juillet, l’ICO a annoncé son intention d’infliger une amende de 183,39 millions de livres (soit 204 millions d’euros) à British Airways pour la violation du Règlement Général sur la Protection des Données (RGPD) et le 9 juillet, un avis similaire a été émis concernant Marriott International, avec une amende de 99,2 millions de livres (soit 110 millions d’euros).
Dans notre article de blog du 3 juin dernier « SIEM : Mise en conformité holistique de votre entreprise », nous avions récapitulé les faits marquants de cette première année de mise en application du RGPD, en mentionnant notamment un total de 56 millions de livres (soit environ 62 millions d’euros) d’amendes. Mais nous avions également mis en garde qu’il s’agissait seulement de la partie « émergée de l’iceberg » et qu’il s’agissait juste d’un avant-goût des sanctions à venir, à mesure que les autorités chargées de la protection des données se préparent et que les consommateurs prennent de plus en plus conscience de leur droit à la confidentialité de leurs données. Force est de constater que nous avions raison. Dans cet article, vous pouvez également découvrir comment la solution SIEM de LogPoint peut vous aider en matière de conformité, notamment concernant le RGPD.
Bien qu’il soit important de noter que les déclarations de l’ICO publiées récemment n’annoncent qu’une “intention” d’infliger des amendes et que les jugements de l’ICO peuvent à priori faire l’objet d’un appel, cette initiative montre clairement la volonté d’augmenter considérablement le montant des amendes infligées en matière de protection des données en Europe, qui, en vertu des règles du RGPD, peuvent atteindre jusqu’à 4% du chiffre d’affaires d’une entreprise.
Mais les annonces de l’ICO soulignent également le fait que les entreprises qui ne sont pas basées dans l’Union Européenne mais qui ont des activités commerciales dans celle-ci dépendent également du RGPD. Alors que British Airways (et sa société mère IAG) est enregistrée au Royaume-Uni et est cotée à la bourse de Londres et Madrid, Marriott International, quant à elle, est basée à Bethesda (Maryland, États-Unis) et est cotée au NASDAQ de la bourse américaine.
Les deux violations en question sont de nature très différente. Alors que la violation de données de British Airways était relativement limitée dans le temps, à savoir de juin à septembre 2018, la violation concernant Marriott a probablement débuté en 2014. La violation de British Airways impliquait en partie le trafic utilisateur vers le site web de British Airways et détourné vers un site frauduleux.
A travers ce faux site, les données des clients ont été collectées par les attaquants. Les données personnelles d’environ 500 000 clients ont été compromises lors de cet incident. L’enquête de l’ICO a révélé que diverses informations avaient été compromises par de mauvaises pratiques en matière de sécurité, notamment des logins, des cartes de paiement et des réservations de voyage, ainsi que des informations sur le nom et l’adresse.
Dans le cas de la faille Marriott, on pense que la vulnérabilité a commencé lorsque les systèmes du groupe hôtelier Starwood ont été compromis, en 2014. Marriott a ensuite acquis Starwood en 2016, mais l’exposition des données des clients n’a été découverte qu’en 2018. L’enquête de l’ICO a révélé que Marriott n’a pas fait preuve de la vigilance nécessaire lorsqu’il a acheté Starwood et aurait dû déployer plus de moyens pour sécuriser ses systèmes.
Le cas du Marriott met en évidence les défis que représente le maintien de la cybersécurité lors des fusions et acquisitions (M&A). Au cours des quatre années qui se sont écoulées depuis l’acquisition de Starwood, les pirates ont pu collecter des informations, contourner les mesures de sécurité internes et s’infiltrer en utilisant les informations exactes dont ils avaient besoin. Plus le temps requis pour traiter une faille est long, plus les dégâts sont importants et plus il faudra de temps pour remédier aux conséquences engendrées par celle-ci.
À la suite de la découverte de la faille Marriott, Christian Have, CPO de LogPoint, a écrit ce billet : M&A Cybersecurity: Lessons from the Marriott Breach. Il s’agit d’une lecture très intéressante pour quiconque est impliqué dans des fusions/acquisitions.