L'Ordre de la Federal Trade Commission concernant Marriott : Une pression pour de meilleures mesures de sécurité numérique
Vendredi dernier, la Federal Trade Commission (FTC) a annoncé une étape significative dans la protection des données des consommateurs en finalisant un ordre exigeant que Marriott International et sa filiale Starwood Hotels renforcent leurs mesures de sécurité numérique. Cette décision intervient à la suite de plusieurs violations de sécurité qui ont rendu les informations sensibles des clients vulnérables.
Les Violations : Une Chronologie des Échecs de Sécurité
Les problèmes de sécurité de Marriott ont débuté avec trois violations majeures détectées en 2015, 2018, et 2020, affectant plus de 344 millions de clients dans le monde. Ces incidents ont entraîné l'exposition de données critiques, y compris des détails de passeport, des informations de carte de paiement, et d'autres données personnelles. Notamment :
- La violation la plus courte a duré un inquiétant 14 mois avant d'être détectée.
- La plus longue violation a vu des attaquants maintenir un accès non autorisé pendant près de quatre ans à partir de 2018.
Nouvelles Mesures de Sécurité et Politiques
En réponse à ces violations, Marriott et Starwood ont accepté de mettre en œuvre des protocoles de sécurité améliorés, notamment :
- Établir des politiques pour conserver les informations des clients uniquement aussi longtemps que nécessaire.
- Publier un lien permettant aux clients américains de demander la suppression des informations associées à leurs comptes e-mail ou de fidélité.
Ces actions représentent un changement crucial dans la manière dont l'industrie hôtelière gère les informations des clients.
La Menace Croissante pour l'Industrie Hôtelière
Les hôtels sont devenus des cibles de choix pour les cybercriminels. En fait, une attaque par ransomware l'année dernière affectant MGM Resorts a laissé les clients et la présidente de la FTC Lina Khan coincés dans la file d'attente, alors que le complexe se contentait d'utiliser papier et crayon pour gérer les enregistrements.
Application de la FTC et Conformité Future
La FTC a accusé Marriott et Starwood d'avoir trompé les consommateurs en affirmant faussement avoir des pratiques de « sécurité des données raisonnables et appropriées ». Les entreprises ont été critiquées pour :
- Avoir mis en place des protocoles de mot de passe et de pare-feu faibles.
- Avoir échoué à patcher des logiciels et systèmes obsolètes.
Dans le cadre de l'ordre, Marriott est interdit de faire des déclarations trompeuses concernant ses pratiques de gestion des données, y compris la manière dont elle collecte, maintient et supprime les données des clients. Ces exigences resteront en vigueur pendant 20 ans.
De plus, la société devra conserver des dossiers de conformité et se soumettre à des inspections de la FTC, garantissant ainsi sa responsabilité dans ses efforts de protection des données.
Le Règlement et la Protection des Consommateurs
Le même jour où la FTC a révélé ses accusations, le bureau du procureur général du Connecticut a annoncé que Marriott avait accepté un règlement de 52 millions de dollars lié aux violations. Ce règlement souligne les conséquences graves auxquelles les entreprises peuvent faire face lorsqu'elles échouent à protéger les données des consommateurs.
En conclusion, alors que la sécurité numérique continue d'être un problème pressant dans de nombreux secteurs, le cas de Marriott rappelle le besoin crucial pour les entreprises de prioriser la protection des données des clients et de mettre en œuvre des mesures de sécurité robustes.
Laisser un commentaire
Tous les commentaires sont modérés avant d'être publiés.
Ce site est protégé par hCaptcha, et la Politique de confidentialité et les Conditions de service de hCaptcha s’appliquent.