Demander une démo
AccueilÉtudes de casMarriott : une brèche restée invisible des années, deux fois sanctionnée
Incident public · Hôtellerie

Marriott : une brèche restée invisible des années, deux fois sanctionnée

Des centaines de millions de clients exposés, une intrusion non détectée pendant quatre ans, puis des sanctions des deux côtés de la Manche. L'infrastructure négligée, grandeur nature.

À retenir

  • Intrusion (Starwood) restée invisible environ quatre ans.
  • Sanctions : £18,4 M (ICO) + règlement de 52 M$ aux États-Unis.
  • L'actif oublié est l'actif dangereux : détection et diligence comptent.

Incident public — sources citées

Le cas Marriott illustre deux idées clés : la plupart des grandes brèches naissent d'une infrastructure négligée (souvent héritée), et la sanction réglementaire vient s'ajouter au préjudice.

Les faits

Une intrusion dans le système de réservation hérité de la marque Starwood est restée non détectée pendant environ quatre ans, exposant les données de centaines de millions de clients (jusqu'à ~383 millions d'enregistrements selon les estimations), dont des numéros de passeport.

La double peine, version internationale

Au-delà d'un règlement de 52 millions de dollars avec des États américains, le régulateur britannique (ICO) a infligé une amende de 18,4 millions de livres pour des manquements au RGPD — notamment l'absence de détection pendant l'intégration d'un système racheté. Comprendre la double peine →

Les leçons

  • L'actif oublié est l'actif dangereux : sous-domaines, systèmes hérités, comptes orphelins. C'est ce que cartographie un audit d'exposition.
  • La détection vaut la prévention : quatre ans d'invisibilité, c'est l'inverse du monitoring continu.
  • La diligence se prouve : face au régulateur, documenter ses mesures change l'issue.

Sources : ICO (UK), décision Marriott ; règlement multi-États américain (2024) ; presse spécialisée. Données publiques, à titre d'analyse.

L'audit d'exposition → · Le monitoring continu →

Questions fréquentes

Que s'est-il passé chez Marriott ?

Une intrusion dans le système hérité de Starwood est restée non détectée environ quatre ans, exposant les données de centaines de millions de clients.

Quelles sanctions Marriott a-t-il subies ?

Un règlement de 52 millions de dollars aux États-Unis et une amende de 18,4 millions de livres du régulateur britannique (ICO).

Quelle leçon pour une PME ?

Les systèmes hérités et actifs oubliés sont les plus dangereux : un audit d'exposition et un monitoring continu réduisent fortement le risque.

Passez à l'action

Voyez ce qu'un attaquant voit.

Le plus concret pour commencer : un scan de votre exposition réelle.

Lancer mon scan →Réserver une démo