Marriott / Starwood

En novembre 2018, Marriott annonce que sa marque hôtelière nouvellement acquise, Starwood, a fait l’objet d’une intrusion de longue durée. La compromission concerne environ cinq cents millions de dossiers clients, y compris noms, adresses, numéros de passeport et — pour une partie d’entre eux — informations de carte de paiement.

Dans le système de réservation depuis 2014

Le détail le plus dérangeant est le calendrier. Les intrus étaient présents dans l’environnement de réservation de Starwood depuis 2014 — deux ans avant que Marriott n’acquière Starwood pour 13,6 milliards de dollars en 2016, et deux années supplémentaires jusqu’à ce que l’outillage de sécurité de Marriott, déployé sur le parc fusionné, ne génère enfin une alerte.

Les autorités américaines et la presse attribuent l’opération aux services de renseignement chinois, la présentant comme s’inscrivant dans un effort plus large de collecte sur des citoyens américains présentant un intérêt. Le profil de ciblage — collecte longue durée de données d’hôtellerie, de santé et de ressources humaines plutôt que monétisation — correspond à un schéma déjà attribué aux mêmes acteurs dans les incidents OPM, Anthem et Equifax.

Le prix d’hériter d’une brèche

Les conséquences financières pour Marriott s’étalent sur des années. L’Information Commissioner’s Office britannique propose initialement une amende de 99 millions de livres au titre du RGPD, ramenée en appel à 18,4 millions. Plusieurs recours collectifs suivent. Le post-mortem devient aussi un classique des conversations de due diligence M&A : l’acheteur hérite des brèches non divulguées du vendeur en même temps que de la marque.

Ce que la chronique retient

Marriott / Starwood est l’histoire canonique de la cybersécurité en M&A. Les acheteurs cadrent désormais systématiquement la diligence cyber comme un chantier séparé, et le chiffre du deal — cinq cents millions de dossiers hérités à l’acquisition — est l’exemple cité.