Accueil
Le quotidien du droit en ligne
-A+A
Article

Sanction de Marriott par l’ICO : l’enjeu crucial de la sécurité des données

Le 30 octobre 2020, l’ICO a condamné le géant américain de l’hôtellerie, le groupe Marriott, à une lourde sanction pécuniaire de 18,4 millions de livres sterling, en raison d’une violation de données de grande ampleur consécutive à des failles avérées de son système informatique. L’occasion de rappeler l’enjeu capital que constitue le respect des exigences de sécurité par le responsable de traitement, conformément aux dispositions de l’article 32 du RGPD.

par Isabelle Gavanon et Valentin Le Marecle 25 novembre 2020

En 2016, à la suite de son acquisition de la société Starwood, Marriott a intégré la totalité des systèmes informatiques de celle-ci, ignorant qu’ils avaient été compromis à l’occasion d’une cyberattaque perpétrée deux ans auparavant, laquelle permettait toujours au pirate d’accéder à ces systèmes ; la violation est détectée par Marriott seulement en septembre 2018, soit plusieurs mois après l’entrée en application du Règlement général sur la protection des données 2016/679 du 27 avril 2016, ou RGPD.

L’intrus pouvait ainsi extraire librement des centaines de millions de données clients n’ayant pas fait l’objet de mesures de protection suffisantes par Marriott après le rachat : données d’identification, coordonnées, informations de voyage, plusieurs millions de passeports, etc. L’alerte a uniquement été déclenchée lorsque celui-ci a tenté d’accéder aux données bancaires des clients.

À la suite de la notification de cette violation de données par Marriott en novembre 2018, l’Information Commissioner’s Office (ICO), l’autorité de régulation du Royaume-Uni en matière de protection des données personnelles, a déclenché une procédure de sanction, en prenant le soin, en tant qu’autorité « chef de file », d’y associer étroitement les autres autorités concernées, en application du mécanisme de guichet unique visé à l’article 60 du RGPD. En effet, au-delà des ressortissants britanniques affectés, les données compromises au cours de l’attaque se rapportaient à des millions de clients à travers l’Espace économique européen (EEE), impliquant dès lors les autorités nationales compétentes. La CNIL a notamment été sollicitée et a « approuvé les projets s’agissant tant des manquements retenus que des montants des amendes proposés » (CNIL, 2 nov. 2020, Cybersécurité : l’autorité britannique de protection des données, en coopération avec la CNIL, inflige deux amendes record ; la CNIL a également été sollicitée dans le cadre de la procédure de sanction enclenchée par l’ICO à l’encontre de British Airways).

Outre un exposé très détaillé du cadre juridique applicable et très circonstancié de la violation de données, la décision de sanction prononcée contre Marriott est riche en enseignements en particulier à deux égards :

• d’une part, en décrivant avec précision les failles de sécurité ayant permis la compromission des données par l’intrus, ainsi que les correctifs qui auraient pu permettre de déjouer la cyberattaque ou, du moins, d’en minimiser les conséquences ;

• d’autre part, en explicitant le montant de l’amende administrative et déclinant tous les facteurs ayant conduit l’ICO à moduler cette somme.

Ainsi, au-delà de son aspect punitif à l’égard de Marriott, cette décision de sanction peut servir de référentiel à tout responsable de traitement soucieux de conformer ses activités au droit en vigueur, et plus spécifiquement désireux de renforcer la sécurité de son architecture informatique en vue de protéger les données qui y sont hébergées, en tenant compte « des coûts de mise en œuvre » et « des risques […] pour les droits et libertés des personnes physiques » conformément à l’article 32 du RGPD.

Une analyse circonstanciée des défauts de sécurité à l’origine des violations de données

Probablement dans un souci de pédagogie à l’égard des autres responsables de traitement, l’ICO détaille dans cette décision les quatre principales vulnérabilités ayant permis, conjointement, l’intrusion et le maintien du cyberpirate dans l’architecture informatique de Marriott et son accès aux données clients.

Suivi insuffisant des comptes privilégiés

Ces derniers ont des accès et habilitations plus étendus qu’un compte utilisateur « classique » au sein des systèmes informatiques (SI) de la structure, justifiés par les fonctions et prérogatives de leur titulaire (par exemple, un compte administrateur).

Selon l’ICO, un monitoring efficace des comptes privilégiés tels que celui utilisé par l’intrus aurait dû, après accès de ce dernier à l’environnement de données de cartes bancaires, l’empêcher de poursuivre toute activité inhabituelle ou non autorisée. Le fait qu’une attaque informatique perpétrée depuis une adresse IP interne soit, semble-t-il, plus difficilement détectable qu’une intrusion extérieure rend ce type de monitoring d’autant plus vital.

Suivi insuffisant des bases de données

En lien avec le manquement précédent, l’ICO reproche à Marriott une absence de monitoring des bases de données elles-mêmes, et plus précisément celles contenant les données bancaires des clients. Sont notamment pointées du doigt les défaillances dans le système d’alerte de sécurité et l’absence d’enregistrement des actions entreprises sur ces bases, tels la copie et l’export de données, permettant ainsi à l’intrus de dupliquer les données pour une réutilisation ultérieure sans être détecté. L’autorité de contrôle estime à cet égard que la seule mise en place d’une procédure d’authentification multifacteurs n’est pas suffisante.

Contrôle des SI critiques

Il s’agit des systèmes dont l’importance est primordiale pour le maintien de l’activité de l’entité et dont la compromission pourrait entraîner des conséquences graves. En complément des actions de monitoring précédemment évoquées et des alertes de sécurité, il incombait à Marriott de mettre en œuvre en tant que mesure préventive, entre autres, un « renforcement des serveurs », lequel aurait pu empêcher l’attaquant d’accéder en premier lieu aux comptes administrateurs et ainsi de pouvoir naviguer librement sur toute l’architecture informatique de Marriott.

L’ICO préconise en ce sens l’utilisation du whitelisting (ou liste blanche) permettant de restreindre l’accès à certains systèmes et/ou logiciels uniquement à des adresses IP ou adresses IP prédéterminées.

Cryptage des données

Bien que Marriott ait correctement crypté les données de cartes bancaires conformément aux standards PCI/DSS, l’ICO regrette que la fonction de cryptage n’ait pas été appliquée plus largement à l’ensemble des données personnelles, et notamment à l’intégralité des passeports des clients. Par ailleurs, une clé de déchiffrement était disponible dans les fichiers informatiques de Marriott, permettant de décrypter les données protégées et rendant en conséquence vains les efforts déployés par la société en ce sens.

Ces quatre failles majeures, ayant toutes concouru à la survenance du dommage et en conséquence fondé la sanction de l’ICO, ne se distinguent pas par leur originalité ; elles sont au contraire susceptibles d’être identifiées dans les SI de tout responsable de traitement, et dès lors mettent en lumière l’impérieuse nécessité d’une réelle intégration des enjeux de sécurité sur le plan opérationnel. La sanction de 20 millions de livres sterling récemment infligée par l’ICO à British Airways, soit la pénalité la plus importante jamais prononcée par l’autorité, rappelle qu’une combinaison des failles de sécurité a priori anodines, notamment dans la gestion des accès aux SI et un défaut de chiffrement des données, peuvent conduire à une violation massive de données et avoir un impact considérable sur le responsable de traitement au niveau financier et sur le plan de son image.

À noter que des défaillances du système de sécurité du responsable de traitement sont quasiment systématiquement relevées et sanctionnées par la CNIL (et par l’ICO au Royaume-Uni) à l’occasion des procédures de contrôle de conformité.

La modulation de la sanction pécuniaire par le jeu des circonstances atténuantes ou aggravantes

De manière très didactique, l’ICO propose une grille de lecture détaillée permettant de comprendre le montant de la sanction, et notamment les éléments retenus à charge ou à décharge de Marriott.

La nature et les conséquences des failles de sécurité, ainsi que le volume considérable de données (dont certaines relèvent de catégories hautement confidentielles, tels passeports ou cartes bancaires) et d’individus concernés (plusieurs dizaines de millions rien que sur le territoire européen), sont évidemment accablants pour Marriott, laquelle disposait par ailleurs de tous les moyens financiers, humains et techniques pour mettre en place des mesures de sécurité techniques et opérationnelles efficaces.

Néanmoins, un certain nombre d’arguments pèsent en faveur de Marriott, à commencer par le dispositif mis en place par la société post-cyberattaque, pour informer et accompagner les clients concernés par la violation de données (site dédié, standard téléphonique, relais dans la presse). La médiatisation de cette affaire, initiée en partie par Marriott elle-même et dommageable pour son image de marque, a pu selon l’ICO renforcer la vigilance d’autres responsables de traitement et à cet égard être bénéfique à la protection des données personnelles. À relever également au crédit de Marriott son entière coopération avec l’autorité de contrôle, preuve que l’inertie, voire l’obstruction d’un responsable de traitement dans le cadre d’une procédure de sanction peut se révéler contre-productive.

L’ICO a également pris en considération l’absence de condamnation préalable, ainsi que le budget de plusieurs dizaines de millions de dollars investi a posteriori par Marriott dans la sécurité informatique (50 millions de dollars en 2019, 100 millions de dollars en 2020), afin de réduire le montant de la sanction envisagée.

Tenant compte de ces circonstances atténuantes, l’autorité britannique a atténué la sévérité de sa sanction, en en réduisant le montant de 20 % dans un premier temps (de 28 à 22,4 millions de livres sterling), puis de 4 millions de livres dans un second temps en raison des difficultés liées à la situation exceptionnelle de pandémie de covid-19.

Cette décision a ainsi la vertu de permettre à tout responsable de traitement d’anticiper quels comportements vertueux adopter ou au contraire quels écueils éviter pour réduire le montant de sa condamnation, la somme ainsi économisée par Marriott (soit 5,6 millions de livres) n’étant pas anecdotique.

De ce point de vue, l’ICO s’inscrit dans une démarche pédagogique très appréciable pour l’effectivité du droit de la protection des données personnelles, droit ainsi mieux compris et donc mieux intégré par les assujettis. À cet égard, la CNIL et, le cas échéant, le Conseil d’État statuant en appel proposent une analyse extrêmement succincte des critères leur permettant de fixer tel montant de condamnation, à l’instar de l’amende de 50 millions d’euros prononcée par la CNIL en janvier 2019 et confirmée par le Conseil d’État le 19 janvier 2020.

Or la sensibilisation des responsables de traitement et sous-traitants au droit des données personnelles, mission dévolue aux autorités régulatrices en vertu de l’article 57.1 du RGPD, pourrait très utilement s’opérer aussi grâce à des décisions de sanction argumentées sur les plans technique et juridique, permettant aux acteurs de mieux baliser leurs pratiques au regard de ce qui est répréhensible et de ce qui est apprécié.