À mesure que l’analyse des données s’est améliorée, les énormes quantités d’informations que les entreprises obtiennent auprès de leurs clients n’ont gagné qu’en valeur économique. Dans le monde professionnel d’aujourd’hui, ces données peuvent constituer un réel atout pour les entreprises. Cependant, comme nous le montre clairement l’actualité récente où les dossiers de plus de 500 millions de clients des hôtels de la division Starwood de Marriott International ont été piratés, il est nécessaire pour les entreprises de repenser la valeur des données de leurs clients.
Ces dernières doivent désormais considérer les données client non seulement comme un actif mais aussi comme un passif potentiel, en particulier dans le cas d’acquisitions d’entreprises.
En septembre 2016, Marriott International achetait Starwood pour la somme de 13,6 milliards de dollars. Lors des démarches engagées par Marriott International pour acquérir la chaîne hôtelière Starwood, les données client de cette dernière ont joué un rôle central dans la décision. Citant des motivations telles que des revenus plus élevés et une meilleure fidélisation des membres du programme à la marque, la directrice générale de Marriott, Arne Sorenson, considérait notamment le programme de fidélisation de Starwood comme la « justification stratégique et centrale de l’opération. » En effet, en plus d’attirer des clients réguliers, les programmes de fidélisation fournissent également aux hôtels une « mine d’informations sur leurs clients » que les hôtels peuvent utiliser pour « créer des campagnes de marketing spécialement ciblées pour différents types de clients. »
En acquérant Starwood, ainsi que son précieux programme de fidélisation et ses données client, Marriott International a également hérité, à son insu, d’une violation de données en cours qui devait causer d’importants dommages à son image de marque au niveau mondial.
Comme l’a révélé une enquête interne, les malfaiteurs à l’origine de la récente atteinte à la protection des données avaient fait intrusion dans les réseaux de Starwood depuis 2014, soit deux ans avant l’acquisition. Ils avaient « piraté la base de données contenant les informations fournies par les clients lors de leurs réservations dans les établissements Starwood le 10 septembre 2018 ou avant cette date. »Les données dérobées contenaient des informations à caractère personnel concernant les clients, notamment leurs coordonnées, leur adresse postale, leur nom ou même leur numéro de passeport. Marriott International ne peut non plus exclure la possibilité que certaines informations de paiement, comme les numéros de carte de crédit, aient également été dérobées.
D’après les journaux, seules les données de Starwood ont été piratées et non celles de Marriott International. L’entreprise paie déjà le prix fort de cet incident. Du jour au lendemain, le cours de ses actions a chuté de plus de 5 %. Comme c’est toujours le cas lors d’une violation de données, cet incident devrait nuire à la confiance que les clients placent dans l’entreprise. Pour essayer de restaurer leur confiance, Marriott International a : mis en place un site Web et un centre d’appels dédiés à l’incident ; a déclaré qu’elle informerait par e-mail les personnes concernées et souscrirait à ses frais pendant un an à un service de surveillance permettant de les alerter si leurs coordonnées se retrouvaient en ligne (dans certains pays). Toutes ces mesures nécessitent de l’argent et des ressources.
On peut tirer un enseignement majeur de l’acquisition de Starwood par Marriott et de cette violation de données : lorsqu’une entreprise envisage d’en acquérir une autre, la sécurité des données et la manière dont elles sont traitées doivent constituer un élément central des négociations, tout comme l’audit préalable de l’entreprise concernée.
Lorsque l’entreprise Marriott International a acquis Starwood et ses données, elle a également hérité du risque associé au stockage et au traitement de ces données. La sécurité numérique est un élément crucial de l’activité d’une entreprise et de tels incidents peuvent rapidement s’avérer désastreux. Avant de procéder à une acquisition, une entreprise doit examiner minutieusement les pratiques en matière de sécurité numérique et de traitement des données mises en place par l’entreprise qu’elle cherche à acquérir afin d’analyser les risques et réévaluer la situation.
Quel niveau de risque suis-je vraiment prêt à accepter ? Peut-on considérer 13,6 milliards de dollars assortis d’une violation des données comme une bonne affaire ?
Consultez le Rapport sur l’évolution des incidents et des violations cybernétiques (Cyber Incident & Breach Trends Report),qui comprend différentes recommandations pour une préparation basique et une liste d’impératifs à respecter pour une préparation plus poussée.