Hébergement, Technologies,
La cybersécurité des hébergements touristiques, un indispensable
Les cyberattaques sont des violations de plus en plus fréquentes dans le secteur hôtelier. Comment bien se protéger ?
Depuis quelques années, la transformation numérique facilite l’infiltration de pirates informatiques dans les bases de données des hôtels. Bien qu’utiles et appréciés des clientèles, les systèmes de réservation basés sur des applications mobiles ou des plateformes en ligne, le wifi et les clés électroniques créent de nouvelles vulnérabilités.
En décembre 2022, des pirates informatiques attaquaient les réseaux du groupe allemand H-Hotels. Résultat : les cybercriminels ont été en mesure de voler des données, notamment les noms des clients, ainsi que leurs courriels. De son côté, le groupe Marriott a connu trois violations de données publiquement reconnues en l’espace de quatre ans. Celle de 2018 a touché 500 millions de personnes, alors que celle survenue en mars 2020 a exposé les détails des comptes de pas moins de 5,2 millions de clients. La plus récente, provoquée en 2022, s’est soldée par une perte de 20 giga-octets de données sensibles. La même année, le groupe IHG et l’entreprise Sonder ont aussi été victimes d’infractions semblables. Comment se défendre ?
Savoir reconnaître les brèches
Les systèmes informatiques comportent plusieurs failles qui facilitent l’intrusion des pirates. Savoir les identifier est un premier pas vers la sécurisation des opérations. En voici quelques-unes :
– Les installations wifi non protégées ou mal configurées ;
– Les courriels contenant des liens vers des logiciels malveillants ;
– Les mots de passe non complexes ou enregistrés ;
– Les applications mobiles non sécurisées qui permettent la réservation, l’enregistrement ou le paiement d’un séjour ;
– Les robots conversationnels (chatbots) mal programmés qui utilisent l’intelligence artificielle (IA).
Ces technologies sont aussi vulnérables aux hameçonnages *.
La main-d’œuvre elle-même représente aussi un risque, bien malgré elle. C’est davantage le cas pour le secteur touristique qui embauche en grande partie des employés saisonniers. Le roulement de personnel complique le maintien d’une formation homogène et actualisée en matière de cybersécurité. De plus, les nouveaux employés ne connaissent pas nécessairement toutes les équipes de travail en place. De prime abord, un courriel piraté qui semble provenir d’une directrice n’apparaît pas suspect.
Des répercussions, peu importe la taille
Tous les joueurs sont à risque. Les petits hébergements manquent parfois de ressources pour prioriser la protection de données, tandis que les grandes chaînes représentent des cibles attrayantes.
Les petits comme les grands joueurs sont à risque. Les auberges ou les gîtes manquent parfois de ressources pour accorder la priorité à la protection de données, tandis que les grandes chaînes représentent des cibles attrayantes parce qu’elles gèrent des millions de dossiers comportant les informations personnelles et financières des clients. De nombreuses répercussions guettent les hôteliers qui ne prennent pas les précautions nécessaires.
Impacts directs d’un vol de données : conséquences financières liées au remboursement de rançons ou aux pertes de clients en cas de panne des systèmes de réservation ou d’interruption de services.
Impacts indirects d’un vol de données : diminution de la fidélité des clients et atteinte à la réputation d’une marque ou d’un établissement en particulier.
Source de l’image : Unsplash
Comment sécuriser l’infrastructure informatique ?
La sécurisation de l’infrastructure informatique des établissements d’hébergement est primordiale. Voici quelques recommandations d’actions :
– Détenir un pare-feu qui protège le réseau contre les tentatives d’intrusion externes, le vol de données, la diffusion de logiciels malveillants (malwares) et les attaques DDoS ** ;
– Configurer de manière professionnelle l’infrastructure informatique et détenir un antivirus qui protège contre les courriels indésirables ainsi que les tentatives d’hameçonnage ;
– Choisir des outils de sécurité capables de détecter les menaces générées par l’IA ;
– Effectuer des tests de vulnérabilité et mettre à jour les composantes de l’infrastructure informatique régulièrement ;
– Désactiver l’accès à Internet si ce n’est pas une priorité pour certains appareils.
La formation des employés, un essentiel
Savoir se défendre contre les cyberattaques nécessite une préparation, une planification, une collaboration et un travail d’équipe. Il s’agit d’une démarche holistique impliquant l’ensemble des membres du personnel.
Une étude de 2023 effectuée par la société de sécurité informatique KnowBe4 a révélé que plus de 33 % des personnes non formées sont susceptibles d’échouer à un test d’hameçonnage. Offrir un processus de formation continue est donc plus que nécessaire. Il convient d’instaurer une démarche en interne ou de solliciter des experts en la matière qui proposent notamment des formations en sensibilisation à la cybersécurité et en protection de données ainsi que des simulations d’hameçonnage. Le Centre canadien pour la cybersécurité s’avère une source fiable donnant conseils et avis à l’intention des petites et moyennes entreprises.
Il convient également de sensibiliser le personnel à limiter l’utilisation de leurs appareils personnels pour le travail. Selon les résultats de l’enquête 2023 menée par l’organisation Agency, 80 % des personnes ayant un poste de direction sont susceptibles d’envoyer régulièrement des courriels liés au travail à partir de leurs propres téléphones portables ou ordinateurs. Toutefois, ces outils ne sont pas forcément équipés des mesures de sécurité installées sur les équipements de l’hôtel. Dans ce cas-ci, il peut s’avérer judicieux d’élaborer des politiques entourant l’envoi de messages ou d’élargir la sécurisation des appareils (lire aussi : La cybersécurité au temps du télétravail).
Le secteur de l’hôtellerie en est un de bienveillance. Saurez-vous protéger vos clientèles ?
*L’hameçonnage (ou phishing) consiste à se faire passer pour une personne de confiance ou une organisation connue pour obtenir des informations sensibles et confidentielles. Un pirate informatique peut prétendre être un robot conversationnel pour tromper les utilisateurs.
**Les attaques DDoS (ou attaque par déni de service distribué) tentent de rendre un site Web (ou un réseau) indisponible en l’inondant de trafic malveillant, l’empêchant ainsi de fonctionner. En hôtellerie, ce type de violation peut provoquer une panne au niveau des systèmes de réservation.
Image à la une: Unsplash
Vous désirez diffuser cet article ? Voir notre politique de diffusion ›
Source(s)
- Akamai
- Barth, Jill. « When cybersecurity becomes ‘HR’s problem’ », Human, Resource Executive, août 2023.
- Belton, Aaron. « Data protection and cybercrime: the big risks facing hotels in 2023 », eHotelier, avril 2023.
- Hines, Morgan. « REPORT REVEALS CYBERSECURITY VULNERABILITIES IN HOSPITALITY », PhocusWire, septembre 2023.
- Kaplo, Matt. « Latest Marriott breach shows a human error pattern », Cio Dive, juillet 2022.
- Lorenz-Meyer, Andreas. « Danger du cyberespace », htr.ch, mai 2023.
- Marriott International. « Marriott International Notifies Guests of Property System Incident », mars 2020.
- Mateer, Noelle. « Generative AI, contactless tech make hotels vulnerable to cyberattacks: report », Hotel Dive, septembre 2023.
- McSweeney, Kelly. « Data protection becomes a priority as hotels lean into digital transformation », Hotel Dive, avril 2023.
- Schwartz, Samantha. « 500M hit by Marriott data breach; intrusion undetected since 2014 », Cio Dive, novembre 2018.
- Sy Savanne, Mélissa. « Les avantages et risques de l’IA et des chatbots (ChatGPT) », LinkedIn, mars 2023.
- Tidy, Joe. « IHG hack: ‘Vindictive’ couple deleted hotel chain data for fun », BBC, septembre 2022.
- Walson, Kathryn. « SONDER GUEST RESERVATION SYSTEM HIT BY SECURITY BREACH », Phocus Wire, novembre 2022.
Partager
Consultez notre Netiquette