Une série de violations de données d’une ampleur inouïe a mis en lumière des failles de sécurité majeures au sein des groupes Marriott et Starwood. Cette situation a conduit la Federal Trade Commission (FTC) à prendre des mesures concrètes pour protéger les informations personnelles de millions de clients. Plus de 344 millions de consommateurs pourraient avoir été touchés, réclamant une refonte complète des pratiques de sécurité des données. Focus sur cette affaire préoccupante.
Les violations de données chez Marriott et Starwood
La première des trois violations de données remonte à 2018. C’est alors que le groupe hôtelier Marriott a révélé le piratage d’une de ses bases de données client, exposant une masse de données sensibles. Environ 327 millions de ses clients ont vu leurs informations personnelles compromises.
Les informations divulguées incluent entre autres le nom, l’adresse, le numéro de téléphone, et même des détails de passeport. Pour certains clients, les numéros de cartes de crédit ont également été affectés, bien qu’ils aient été partiellement protégés par un cryptage avancé.
Deux autres incidents ont suivi, renforçant l’inquiétude sur la gestion des données par ces groupes hôteliers. Ces événements ont révélé des lacunes inquiétantes dans leurs systèmes de protection des données.
La FTC impose 13 changements majeurs
En réponse à ces violations, la FTC a ordonné aux deux entreprises de prendre des mesures immédiates et significatives pour éviter toute répétition de tels incidents. Parmi les exigences, la création d’un programme de sécurité de l’information complet, destiné à protéger les données des clients.
D’autres obligations incluent la restriction de la conservation des informations personnelles et l’établissement d’une procédure permettant aux clients de demander la suppression de leurs données personnelles via le site web. Marriott doit également examiner les comptes de récompenses des clients sur demande.
Les entreprises doivent également fournir une transparence totale concernant la collection et l’utilisation des informations personnelles des consommateurs. Elles se voient interdire de tromper les clients sur la manière dont elles gèrent leurs données.
Entre autres exigences, le personnel doit recevoir une formation sur la sécurité des données, et des stratégies doivent être mises en place pour faire face aux menaces, tout en encourageant l’utilisation de l’authentification à deux facteurs.
En somme, ces mesures témoignent d’un besoin criant d’améliorations fondamentales dans la gestion des données au sein de ces entreprises. Avec une telle échelle de violation, il est impératif d’adopter une approche proactive pour renforcer la sécurité des informations personnelles des clients.