Le secteur de l’hôtellerie et de la restauration est confronté à d’importantes menaces en matière de sécurité, ce qui en fait une cible naturelle pour les cybercriminels en raison de la valeur et du volume des informations personnelles identifiables détenues par ces organisations. Cette situation, associée à une main-d’œuvre nombreuse, offre de nombreuses possibilités aux intrus d’infiltrer le système de réservation ou le point de vente interne du restaurant pour s’emparer des données critiques des clients.

L’industrie hôtelière a connu une myriade de violations de données. Marriott, Radisson Hotel Group, InterContinental, Four Seasons et Hilton Hotels ne sont que quelques-unes des grandes sociétés qui ont fait les gros titres ces dernières années à la suite d’une atteinte à la sécurité des données.

Aujourd’hui, Marriott est souvent cité comme l’une des plus grandes violations de données jamais survenues, ce qui lui a valu une amende de plus de 120 millions de dollars. Toutefois, ces manquements élémentaires à la sécurité n’entraînent pas seulement des pertes financières dévastatrices, mais ils coûtent également aux organisations leur réputation, leurs emplois, leurs investissements et leurs activités. L’année dernière, le rapport Hotels Outlook de PwC indiquait que le secteur de l’hôtellerie et de la restauration était le deuxième plus grand nombre de violations de la cybersécurité après le secteur de la vente au détail.

Le secteur a connu une évolution majeure ces dernières années, de nombreux hôtels s’étant complètement numérisés pour tenter d’acquérir un avantage concurrentiel et de suivre les agences de voyage en ligne telles qu’Expedia et Hotels.com. Par conséquent, ces organisations utilisent désormais les technologies les plus récentes, telles que les applications de réservation, les systèmes de traitement des paiements et les réseaux d’entreprise complexes, ce qui augmente la probabilité d’une attaque. Dans le même temps, le paysage cybernétique continue d’évoluer rapidement et les hôteliers sont confrontés à un certain nombre de menaces communes.

Types de menaces pour la sécurité dans le secteur de l’hôtellerie et de la restauration

Hameçonnage

La majorité des cyber-attaques peuvent être
retracées à partir d’un courriel d’hameçonnage qui incite la victime à divulguer ses informations d’identification
ou à télécharger un logiciel malveillant. L’hameçonnage reste l’attaque d’ingénierie sociale la plus populaire
en raison de son taux de réussite élevé. Une étude menée par Intel a révélé que 97 % des experts en sécurité ne parviennent pas
à distinguer les courriels d’hameçonnage des courriels authentiques. L’année dernière, un certain nombre d’hôtels et de chambres d’hôtes
figurant sur Booking.com ont été ciblés par des courriels de phishing
, ce qui a conduit les utilisateurs du site web à recevoir des courriels leur demandant
de fournir des informations de paiement.

Mais il n’y a pas que les courriels malveillants qui sont
utilisés pour inciter les gens à cliquer sur des liens ou à divulguer des informations sensibles.
Une autre tactique couramment utilisée par les criminels consiste à créer de faux sites web
pour inciter les victimes à saisir des informations sensibles. Les criminels passent
beaucoup de temps à rendre le site aussi crédible que possible et à le faire paraître
presque indiscernable du vrai.

En fait, selon l’American Hotel and Lodging Association, environ 55 millions de réservations d’hôtel en ligne (
) sont affectées par des sites web frauduleux et des centres d’appel qui se font passer pour des sites web d’hôtel (
).

Ransomware

En 2017, 
Romantik
Seehotel Jaegerwirt, un luxueux hôtel autrichien, a été victime d’une attaque par ransomware
qui a empêché les clients et les employés de l’hôtel d’accéder aux chambres jusqu’à ce que la direction de l’hôtel
paie la rançon demandée – deux bitcoins, soit environ 1 800 dollars. Après que l’attaque
a fait la une des journaux, de nombreux hôtels ont été contraints de reconsidérer la façon dont ils se protégeraient
contre de futures cyberattaques.

Il est inquiétant de constater que les ransomwares évoluent vers un nouveau type de menace
où les cybercriminels ne se contentent pas de crypter les données, mais les volent également
et menacent de les diffuser sur l’internet. Cela expose
les organisations à des violations de données publiques préjudiciables et aux implications réglementaires,
financières et de réputation qui en découlent.

En 2019, 205 280 organisations ont soumis des fichiers qui avaient été piratés lors d’une attaque par ransomware, soit une augmentation de 41 % par rapport à l’année précédente, selon un rapport récent. Lorsqu’il s’agit de se défendre contre les ransomwares dans le secteur de l’hôtellerie, les entreprises doivent toujours être préparées à une violation et avoir un plan de réponse aux incidents prêt à mettre en place.

DDoS

Ces dernières années, les pirates informatiques ont déployé
de nouvelles tactiques et les attaques par déni de service distribué (DDoS) ont
gagné en popularité. Ce type d’attaque vise à rendre un service en ligne
indisponible en le submergeant d’énormes volumes de trafic provenant de
sources multiples afin de causer d’importants dommages. Il peut s’agir d’une perte de données, d’une perte de revenus
, d’une atteinte à la réputation et d’une perte de clients.

Le secteur de l’hôtellerie est devenu la
cible favorite des attaques DDoS car les hôtels utilisent un large éventail d’appareils,
des téléviseurs aux systèmes de réservation, qui sont tous gérés par des ordinateurs et peuvent être
utilisés pour perturber d’autres systèmes de l’infrastructure. En 2017, la chaîne d’hôtels
de Donald Trump a fait l’objet d’une attaque DDoS de la part de pirates informatiques, ce qui a entraîné l’indisponibilité du site web
pendant 12 heures.

Vulnérable
fournisseurs tiers

Les violations de données causées par des tiers coûtent des millions aux grandes entreprises. Selon une enquête, près de la moitié (44 %) des entreprises ont été victimes d’une violation de données importante et préjudiciable à leur activité, causée par un fournisseur. Les hôtels faisant appel à une multitude de fournisseurs, le secteur de l’hôtellerie et de la restauration offre aux pirates de vastes possibilités de lancer des attaques malveillantes. Tous les éléments, des points de vente aux systèmes de réservation, en passant par la gestion immobilière, les ressources humaines et la paie, constituent des points d’entrée potentiels.

C’est là que les normes de sécurité, telles que la norme ISO 27001, jouent un rôle important. La norme ISO 27001 garantit que les fournisseurs respectent les normes les plus strictes grâce à des processus approuvés et documentés, et qu’ils s’engagent à respecter les normes les plus strictes en matière de sécurité de l’information.

Comment le secteur de l’hôtellerie et de la restauration peut-il se prémunir contre les menaces de sécurité ?

L’industrie hôtelière étant de plus en plus sujette à des cyberattaques malveillantes, il existe un certain nombre de moyens pour les organisations de lutter contre les menaces de cybersécurité :

  • Développer une culture de formation continue à la cyberconscience parmi le personnel, qui adopte une variété de méthodes engageantes pour éduquer les employés sur leur rôle dans le maintien de la sécurité et de la sûreté de leur organisation.
  • Limitez l’accès aux paiements ou aux données personnelles aux seuls membres du personnel qui ont besoin de ces informations pour faire leur travail.
  • Utiliser des identifiants et des codes d’accès individuels aux systèmes.
  • Les organisations devraient envisager l’utilisation d’un service de protection DDoS qui détectera les flux de trafic anormaux et redirigera tout trafic DDoS hors du réseau. D’autres mesures de sécurité comprennent la sécurisation de l’infrastructure du réseau par l’utilisation d’un pare-feu, d’un VPN, d’un anti-spam et d’autres couches de techniques de défense contre les attaques DDoS.
  • Veillez à ce que les normes de conformité PCI soient en place. Ces normes constituent un ensemble d’exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé.
  • Installez et mettez à jour le logiciel antivirus sur tous les appareils.
  • Ne cliquez jamais sur des liens ou ne téléchargez pas de pièces jointes provenant de sources inconnues.
  • N’utilisez pas de Wi-Fi public pour mener des activités professionnelles.
  • Veillez à ce que les fournisseurs soient contrôlés et à ce que les contrôles d’accès soient soigneusement étudiés, car il s’agit souvent de points faibles.
  • Ne payez jamais de rançon, car il n’y a aucune garantie de récupérer vos fichiers.

MetaCompliance a créé des solutions complètes de sensibilisation à la cybersécurité. Contacteznos spécialistes en sensibilisation à la sécurité pour plus d’informations sur la manière dont nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.