Comment bien protéger son hôtel ? 11 recommandations à appliquer au sein de votre établissement

Les fuites de données de chaînes hôtelières, d’OTA ou de plateformes de réservation sont monnaie courante dans le domaine de la cybersécurité et ébranlent tout le secteur hôtelier et touristique. Tous les hôtels sont concernés par cette menace et peuvent être sujets à une attaque, même un petit hôtel indépendant. La raison étant que les données gérées par les hôtels sont des données confidentielles qui ne sont pas toujours bien protégées (coordonnées bancaires, pièces d’identité, données personnelles, contacts, etc.), la première faille étant le personnel de l’hôtel qui n’est pas toujours bien formé à parer les attaques les plus simples. 

Au sommaire de cet article :

➤ Quelles sont les principales menaces et les méthodes employées ?

➤ Quelles sont les bases pour sécuriser son environnement et ses données ? 

➤ Comment bien former ses équipes aux cyberattaques ?

➤ Quels gestes adopter si l’on est victime ?

‍

En premier lieu, quelques chiffres clés :

• Il faut 277 jours en moyenne pour identifier et contenir une violation de la cybersécurité — IBM
• L’Hôtellerie est le 3ème secteur le plus ciblé des cyberattaques — HRIMag
• 72% des entreprises concernées par des attaques avec demande de rançon comptent moins de 100 employés — HRIMag
• 95% des violations de la cybersécurité sont causées par une erreur humaine — World Economic Forum

Les cyberattaques les plus communes

Crytominage / Cryptojacking

Les hackers prennent possession de l’ordinateur pour faire du minage secret de cryptomonnaie. Le cryptominage peut se montrer très agressif et rendre l’ordinateur inutilisable sur de longues périodes.

Botnet

Un Botnet est un réseau de dispositifs informatiques infectés par des logiciels malveillants, contrôlés à distance par un opérateur. Les hackers en prennent possession pour leur faire exécuter des tâches malveillantes et entrer dans le système.

Ransomware / Rançongiciel

C’est la prise en otage des données en échange d’une rançon. Le cryptolocker / cryptoverrouilleur “met le verrou” sur l’emplacement des données. Succomber au chantage en payant la rançon n’est jamais une bonne idée, les hackers savent cryptolocker mais pas nécessairement effacer correctement leur passage.

Phishing

Le Phishing ou hameçonnage est une technique de tentation par e-mail, SMS ou autre type de message généralement par un lien ou une pièce-jointe piégé(e). La fraude au CEO est un des exemples de Phishing qui se sert de l’influence et de l’urgence d’une demande pour l’inciter à cliquer au plus vite sur le lien envoyé en se faisant passer pour son directeur. La cible doit alors laisser des informations personnelles (carte bancaire, carte vitale, identifiants, e-mails, etc.).

Malware

Un malware est un logiciel malveillant conçu pour infecter, endommager ou compromettre un système informatique sans le consentement de l'utilisateur, pouvant inclure des virus, des vers, des chevaux de Troie, des ransomwares, etc.

Les mythes à oublier impérativement

❌ Il faut régulièrement changer son mot de passe

À faire cela, on en vient à créer un pattern facile à retenir pour se souvenir de son mot de passe. Il n’est pas nécessaire de changer régulièrement son mot de passe mais plutôt d’utiliser un mot de passe sécurisé.

❌ Utiliser le même mot de passe (même compliqué) sur plusieurs comptes

Un hacker qui met la main sur un mot de passe va essayer de l’utiliser sur tous les comptes et aura donc la main sur tous les accès.

❌ Le hacker essaye de deviner les mots de passe

Les hackers utilisent des robots pour craquer les mots de passe, qui peuvent récupérer les données personnelles (dates de naissance, code postal, nom de l’hôtel + année, etc.). Ils mettent même plusieurs dizaines de régimes en place pour tester régulièrement les systèmes ciblés.

❌ Une infection est visible

Vous n’êtes pas toujours au courant que le contrôle a été pris sur les données, c’est d’ailleurs dans l’intérêt du hacker que ce ne soit pas visible pour avoir plus de temps. Une étude d’IBM a d’ailleurs mis en lumière qu’un établissement détecte une intrusion sur son réseau en 277 jours en moyenne, ce qui laisse largement le temps aux hackers de récupérer tout ce qui les intéresse. Et ce n’est qu’une moyenne ! Le cas du piratage de Marriott annoncé fin 2018 a fait remonter que l’attaque avait été commise quatre ans auparavant sans qu’elle ne soit détectée ; elle aurait d'ailleurs affecté 5.2 millions de clients.

❌ Les petits établissements ne sont pas ciblés

Une enquête de HRIMag a mis en avant que 72% des entreprises concernées par des attaques avec demande de rançon comptent moins de 100 employés. Ce ne sont donc pas les plus grosses entreprises qui sont les plus touchées en majorité. Et surtout, les attaques tournent en permanence dans l’attente que cela morde quelque part.

❌ L’établissement n’est pas responsable

Les responsabilités sont en général partagées mais l’établissement est tenu de former ses salariés à la sécurité. Il est également responsable de la sécurité de ses clients et encore plus de leurs données personnelles.

❌ Une double authentification n’est pas nécessaire

La double authentification est l’étape supplémentaire après avoir entré ses identifiants pour assurer l’identité de l’utilisateur. Elle est par exemple utilisée par toutes les banques pour les paiements en ligne. Cela se concrétise soit par un code envoyé par e-mail ou SMS. On augmente de manière exponentielle la difficulté de la prise en main du compte.

❌ Il suffit d’avoir un anti-virus ou de ne pas ouvrir les pièce-jointes des e-mails

Il faut une multitude de moyens pour sécuriser des systèmes, et tout comme une maison, il n’y pas de sécurisation inviolable. En plus des outils pour se sécuriser, il faut également du bon sens et de l’éducation des équipes pour se méfier des e-mails et messages au quotidien, car l’erreur humaine est souvent le point faible (responsable de 95% des violations de cybersécurité).

‍

Les recommandations de base pour votre hôtel

1. Un mot de passe par logiciel

En cas de compromission des données d’un site ou d’un logiciel, le hacker a accès à tous les comptes qui utilisent le même mot de passe. D’où l’intérêt de configurer un mot de passe différent pour chaque logiciel et de s’aider pour cela d’un gestionnaire de mots de passe. 

2. Utiliser un outil de gestion des mots de passe

Un gestionnaire de mot de passe permet de gérer et générer des mots de passe compliqués, de les rentrer automatiquement sur la page de connexion sans que ceux-ci soient en clair. 

L’utilisateur a seulement un seul mot de passe à retenir pour déverrouiller son gestionnaire et ne connaît aucun autre mot de passe puisque la connexion aux systèmes enregistrés se fait de manière automatique. Ces logiciels permettent également de partager facilement les identifiants à un autre membre de l’équipe sans que ce dernier ne le connaisse. 

Quelques exemples de logiciels qui permettent la gestion de mots de passe en équipe : Dashlane, 1Password, LastPass, Bitwarden, RoboForm, KeePass…

3. Un identifiant par collaborateur

Dans un hôtel, certains logiciels ou systèmes ne permettent pas toujours de créer plusieurs logins pour chaque membre de l’hôtel. Et surtout, tous les collaborateurs n’ont pas toujours une adresse personnelle (et partagent des adresses e-mail génériques contact@, info@, reception@, etc.). 

Cependant, dès que cela est possible, créez autant d’accès que de collaborateurs. Non seulement vous maîtrisez mieux la sécurité mais les accès sont plus facilement révoqués lors du départ du collaborateur, il suffit de supprimer l'accès. 

4. Installer un VPN sur les ordinateurs portables des équipes

Un VPN est un réseau privé virtuel qui permet d’établir une relation point à point entre un équipement et un site distant, un peu à la manière d’un tunnel sécurisé entre le serveur de réseau et l’ordinateur. Les informations échangées sont cryptées. Le VPN permet ainsi de protéger un ordinateur portable sur des wi-fi publics ou non sécurisés.

5. Privilégier les logiciels avec une authentification à multifacteur

Les logiciels qui gèrent des données personnelles (des clients ou des collaborateurs) doivent impérativement proposer une authentification à plusieurs facteurs pour sécuriser ses accès. L'authentification à deux/double facteurs (2FA) est une vérification en deux étapes et la plus répandue. Les moyens les plus connus sont : un code unique envoyé par SMS, une application d'authentification, la reconnaissance faciale ou par empreinte digitale, une clé de sécurité, etc.

6. Bien gérer les accès des outils et régulièrement faire le tri

Les droits administrateurs des logiciels ne doivent pas être donnés à tous les collaborateurs s’ils n’en ont pas l’utilité, étant donné que c’est le statut le plus élevé de modification des éléments (droits de modification de la configuration ou de suppression complète).

Le fait de donner des accès différents par collaborateur permet de facilement faire le tri dès qu’un collaborateur quitte l’établissement sans avoir à réinitialiser le mot de passe. Il suffit de supprimer les accès du compte. 

Il peut également être intelligent de créer pour une même personne (avec des droits administrateurs) un autre compte avec moins de droits pour les tâches du quotidien qui ne nécessitent pas d’avoir un plein accès.

7. Sécuriser son réseau wi-fi

Ne jamais utiliser une box internet personnelle pour son établissement car elle ne permet pas un niveau de sécurité suffisant (elle est d’ailleurs inexistante), aussi bien pour votre sécurité que celle de vos clients. L’ensemble des utilisateurs sont facilement accessibles pour quiconque s'y connecte dont vos postes en interne. Tournez-vous toujours vers des prestataires de réseau wi-fi pour mettre en place un réseau sécurisé qui permet notamment de séparer les appareils connectés. Pensez également à ne pas non plus connecter les imprimantes sur le réseau dédié aux clients.

8. Identifier clairement son réseau wi-fi

Communiquez à vos clients le nom de votre réseau wi-fi et comment s’y connecter. Des réseaux malveillants peuvent être nommés avec le nom de l’hôtel pour que des clients inattentifs s’y connectent.

Pensez justement à vérifier régulièrement les réseaux wi-fi aux alentours de l’hôtel pour détecter ceux qui auraient usurpé le nom de l’hôtel (Nomdelhotel_GUEST, WIFI_NOMDELHOTEL, etc.).

9. Se former régulièrement à la cybersécurité

Inclure la cybersécurité dans la formation des équipes est primordial. La plus grande faiblesse est l’erreur humaine, la sensibilisation est donc essentielle pour minimiser les risques et éduquer les collaborateurs à être attentifs au quotidien. C’est justement sur les tâches les plus quotidiennes où l’attention est relâchée que les attaques se font. 

Les rappels réguliers (par exemple sur les méthodes d’attaque ou la détection de tentatives) permettent de garder active l’attention. Il peut être également intéressant de former à la détection d’alerte et la procédure à suivre en cas de suspicion. La première étape peut d’ailleurs être de rédiger une documentation pour former aux gestes de base de la cybersécurité.

10. Prendre de bonnes habitudes

Prendre de bonnes habitudes en incluant la cybersécurité dans le quotidien est important : toujours verrouiller son poste de travail dès qu’on le quitte, se déconnecter des outils, déployer un logiciel de gestion des mots de passe au sein des équipes, rappeler à l'ordre les collaborateurs qui ne sont attentifs, se renseigner régulièrement sur les menaces et tentatives d’intrusion, se maintenir au courant des nouvelles du secteur, etc.

Un moyen de garder la vigilance des collaborateurs est de recourir à des services pour tester les collaborateurs avec des faux e-mails de phishing (inoffensifs) qui simulent des tentatives d’attaques, aussi élaborées que celles des hackers. Les collaborateurs corrompus sont gentiment prévenus et rappelés à l'ordre de maintenir leur méfiance à tout moment.

11. Ne jamais rien brancher sur un ordinateur de l’établissement

Refuser quand un client demande de pouvoir recharger son téléphone sur l’ordinateur de la réception ou tend une clé USB pour imprimer un document. Les postes informatiques de l’hôtel doivent être protégés. Attention également aux imprimantes connectées au réseau wi-fi de l’hôtel. Si vous devez imprimer quelque chose de la part du client, demandez-lui de l’envoyer par e-mail et n’ouvrez que les pdfs.

Comment choisir et quelles questions poser à vos prestataires technologiques ?

S’entourer de solutions professionnelles et qui respectent le RGPD est nécessaire pour sécuriser les données personnelles qui transitent par vos outils. Vous êtes responsable de vous équiper de solutions qui respectent les réglementations en vigueur. 

Voici quelques questions essentielles à poser à vos prestataires technologiques avant de conclure un partenariat avec eux : 

• Où sont hébergées les données ? Quel type de données sont localisées ? Le RGPD vous impose de savoir quelle donnée est située où pour pouvoir agir dessus
• Suis-je propriétaire des données ? Statut de Data Processor (le prestataire) versus Data Controler (l’hôtel)
• Y-a t’il une double sécurité pour se connecter ? 
• Comment gérer les identifiants partagés ? 
• Y-a-t’il un système des droits administrateurs ? Tous les collaborateurs n’ont pas besoin de pouvoir tout faire : Compte Utilisateur versus Compte Administrateur
• Avez-vous un document décrivant votre politique de sécurité ? Que se passe-t-il en cas d’urgence, ai-je un numéro dédié ou un chat ? Est-ce qu’on peut bloquer le compte ?

‍

Si vous souhaitez vous former en vidéo sur la cybersécurité dans l’hôtellerie, visionnez notre dernier webinaire sur cette thématique : 

Les intervenants :

• Guilain Denisselle, Rédacteur en chef de Tendance Hôtellerie
• Lionel Tressens, Cofondateur et directeur technique de LoungeUp
• Jean-Christophe Behar, Directeur général de IPEFIX
• Bruno Lanvin, Head of Customer Training & Education chez LoungeUp