À une époque où la numéri­sa­tion pro­gresse inex­orable­ment, les étab­lisse­ments hôte­liers devi­en­nent de plus en plus des cibles de choix pour les cyber­crim­inels. Mais qu’est-ce qui les rend par­ti­c­ulière­ment vul­nérables? Entre­tien sur les défis uniques aux­quels est con­fron­tée l’hôtellerie.

L’importance de la cyber­sécu­rité est bien con­nue. Mais qu’est-ce qui rend les étab­lisse­ments hôte­liers par­ti­c­ulière­ment attrayants pour les cybercriminels?

Les étab­lisse­ments hôte­liers sont aujourd’hui par­ti­c­ulière­ment vul­nérables aux cyber­at­taques, et ce pour plusieurs raisons. Depuis l’essor de plate­formes comme Airbnb et les réper­cus­sions de la pandémie de Covid-19, les étab­lisse­ments hôte­liers du monde entier subis­sent une pres­sion finan­cière con­sid­érable. Les petites et moyennes entre­pris­es, en par­ti­c­uli­er, nég­li­gent sou­vent la sécu­rité infor­ma­tique, car elles préfèrent pri­oris­er d’autres domaines tels que le ser­vice à la clien­tèle. Un autre fac­teur décisif est l’environnement de tra­vail, qui est sou­vent stres­sant dans les hôtels. Les col­lab­o­ra­tri­ces et col­lab­o­ra­teurs doivent tout à la fois enreg­istr­er les hôtes, répon­dre aux appels télé­phoniques et, par­fois, faire atten­tion aux e‑mails fraud­uleux. Cela les rend davan­tage sujets aux erreurs. De plus, les hôtels, quelle que soit leur taille, sont de véri­ta­bles mines de don­nées clients sen­si­bles. Un célèbre exem­ple est la chaîne hôtelière Motel One, dont des don­nées ont été volées (y com­pris des don­nées de cartes de crédit) et ven­dues sur le Dark­net. Alors que les inci­dents de cette ampleur sont très médi­atisés, beau­coup d’attaques con­tre des entre­pris­es plus mod­estes né sont pas dévoilées. Même une petite faille de sécu­rité dans le sys­tème per­me­t­tre aux cyber­crim­inels d’y accéder et de causer des dommages.

Quelles tech­niques de hack­ing ont le plus le vent en poupe? 

À l’ère de la numéri­sa­tion et de l’IA, les spams ama­teurs, autre­fois mon­naie courante, appar­ti­en­nent désor­mais au passé. Les e‑mails de phish­ing, dans lesquels les pirates se font pass­er pour des clients et exer­cent une pres­sion avec de fauss­es plaintes con­cer­nant par exem­ple des punais­es de lit ou des men­aces de pour­suites judi­ci­aires, sont une ten­dance émer­gente. Un strat­a­gème con­tre lequel même la Con­fédéra­tion a mis en garde. Les hack­ers tirent par­ti du sens aigu du ser­vice des étab­lisse­ments hôte­liers et les employé·e·s sont incités à con­sul­ter les «preuves», c’est-à-dire à cli­quer sur un lien malveil­lant. Une déci­sion rapi­de aux con­séquences fatales, car les mal­wares mod­ernes sont si sophis­tiqués que bon nom­bre de pro­grammes antivirus clas­siques né suff­isent plus à les intercepter. 

Quelles sont leurs conséquences?

Les cyber­at­taques peu­vent avoir de lour­des con­séquences pour les étab­lisse­ments hôte­liers. Dans un pre­mier temps, il peut y avoir des inter­rup­tions d’exploitation, car il n’est plus pos­si­ble d’accéder au sys­tème infor­ma­tique, alors que la restau­ra­tion des don­nées néces­site du temps et génère des coûts. La répu­ta­tion de l’hôtel peut être forte­ment ternie, en par­ti­c­uli­er si des don­nées clients sont ven­dues sur le Dark­net, comme dans le cas de Motel One. La vio­la­tion des lois sur la pro­tec­tion des don­nées peut avoir des con­séquences juridiques. Par­fois, des rançons sont exigées, sou­vent sous forme de bit­coins, ce qui pose des dif­fi­cultés à de nom­breuses entre­pris­es. Même sans rançon, une cyber­at­taque peut déjà engen­dr­er des coûts à cinq chiffres. Les con­séquences finan­cières et l’atteinte à la répu­ta­tion d’une cyber­at­taque peu­vent donc sig­ni­fi­er la fin pour de nom­breux étab­lisse­ments hôteliers.

Com­ment les étab­lisse­ments hôte­liers peu­vent-ils s’en prémunir? 

Les mesures de pro­tec­tion habituelles telles que la sen­si­bil­i­sa­tion du per­son­nel et le ren­force­ment de la sécu­rité infor­ma­tique sont essen­tielles. Il s’agit notam­ment d’isoler les ordi­na­teurs piratés du réseau, de définir des mots de passé sûrs et de les chang­er régulière­ment, d’effectuer les mis­es à jour logi­cielles sans retard et d’éviter les con­nex­ions Wi-Fi publiques. Qual­i­bro­ker AG pro­pose une liste de con­trôle com­plète regroupant les prin­ci­pales mesures de protection.

Que faire en cas d’urgence?

Tôt ou tard, chaque étab­lisse­ment sera très prob­a­ble­ment la cible d’une cyber­at­taque. Dans ce cas, il est pri­mor­dial de dis­pos­er d’une bonne cyberas­sur­ance, car elle pro­pose un numéro d’appel d’urgence per­me­t­tant de con­tac­ter des experts. En cas de sin­istre, on est accom­pa­g­né par des spé­cial­istes de l’informatique, du droit et de la com­mu­ni­ca­tion. Les assureurs pro­posent égale­ment des mesures préven­tives et des for­ma­tions pour le per­son­nel. Une assur­ance com­plète per­met de cou­vrir les coûts, par exem­ple en cas d’interruption d’exploitation (perte de chiffre d’affaires), d’analyse infor­ma­tique, de restau­ra­tion des don­nées et de paiement de rançons. Chez Qual­i­bro­ker, nous aidons nos clients à trou­ver des solu­tions d’assurance sur mesure, analysons les risques et pro­posons un con­seil indépen­dant. Nos clients prof­i­tent d’un word­ing plus large et d’un rabais spé­cial pour leur cyberassurance.