Les hôtels sont devenus une cible attrayante pour les cybercriminels et le risque d’une cyberattaque réussie est bien réel. C’est dans ce contexte que le Belgium Hospitality Club et Coriotech ont organisé 2 roadshows sur le thème de la cybersécurité (le 29 avril au Kasteel Solhof à Aartselaar et le 5 juin au Park Inn à Brussels Airport).
Après le mot de bienvenue de Filip Helssen, Président de BHC et CEO de Coriotech, les conférenciers invités – Koert Van Espen (Apogado) et Pieter Govers (Coriotech) – ont expliqué pourquoi les hôtels ont tout intérêt à sécuriser leurs données et leurs systèmes. Quiconque laisse des portes virtuelles ouvertes et est victime d’une cyberattaque réussie s’expose à de nombreux problèmes. Une idée fausse persiste selon laquelle il s’agirait uniquement de confidentialité. L’impact d’une cyberattaque va bien au-delà. Dans certains cas, une cyberattaque réussie peut perturber considérablement l’activité quotidienne d’un hôtel, entraînant des coûts supplémentaires et des désagréments pour les clients. Si les pirates informatiques accèdent à des données financières sensibles comme les numéros de carte de crédit et les comptes bancaires, les pertes financières peuvent être considérables. En outre, une cyberattaque peut nuire à la réputation et entraîner une perte de confiance chez les clients.
Des cybers cambrioleurs, vandales et voleurs
D’après Koert Van Espen et Pieter Govers, les hackers travaillent souvent au sein de divers ‘collectifs de hackers’ et font partie du crime organisé. Un cybercriminel doit d’abord être considéré comme un ‘cambrioleur’ : le pirate informatique entre dans l’hôtel par la ‘porte d’entrée’ sous de faux prétextes (une maintenance des systèmes à distance ou un phishing, par exemple). Il peut également passer par la ‘porte de derrière’, c’est-à-dire des appareils mal sécurisés. Une fois à l’intérieur, le pirate désactive les alarmes (les antivirus notamment) et explore le système à votre insu, ce qui peut prendre plusieurs semaines.
Le hacker détruit ensuite les systèmes et les back-ups comme un ‘vandale’ avant de passer à l’étape suivante : le ‘vol’. Il commence par dérober des informations (données importantes), généralement en les téléchargeant puis en les cryptant. Le cybercriminel demande ensuite une rançon pour restituer les données à l’hôtelier. Si le paiement n’est pas effectué, les données volées sont parfois vendues. Les conférenciers estiment que payer une rançon est un ‘mauvais signal’.
Quelques conseils pour tenir les hackers à distance
Koert Van Espen et Pieter Govers estiment que les hôteliers ont tout intérêt à suivre certaines mesures pour fermer la porte aux cybercriminels. Premier conseil : ne laissez pas traîner les ‘clés’. Les intervenants soulignent que de bons mots de passe et une vérification en deux étapes sont des mesures de sécurité pertinentes pour protéger les comptes en ligne contre tout accès non autorisé. Soyez vigilant quant aux personnes que vous laissez entrer (méfiez-vous des faux messages d’assistance et des e-mails d’hameçonnage). Dans ce contexte, il est important de former le personnel de l’hôtel (formation de sensibilisation) pour qu’il prenne conscience du danger que représente le piratage. L’hôtelier doit veiller à disposer de bonnes ‘alarmes’ (des systèmes anti-virus) et s’assurer que tous les systèmes sont à jour.
Autres conseils: veillez à crypter vos fichiers, à segmenter votre réseau et à effectuer des copies (des sauvegardes sur site). Le cas échéant, l’hôtelier peut envisager de souscrire une assurance cybersécurité, à condition toutefois que des mesures préventives suffisantes aient déjà été prises.
Table ronde interactive
Le Cyber Summit s’est conclu par une table ronde interactive sur le thème ‘Une sécurité à quatre couches’. Outre Koert Van Espen (Apogado), qui jouait le rôle de modérateur, et Pieter Govers (Coriotech), Glenn Vandamme (Lighthouse), Pieter Verheye (Light-speed), Filip Vandaele (Sophos), Tim Beyens (NVISO) et Glenn Nuytemans (KMO Assur) ont participé à la discussion. Le débat a porté sur la sécurité physique avec notamment l’exemple de piratage d’un système de contrôle d’accès en 2022, au cours duquel les hackers sont parvenus à déverrouiller de nombreuses portes de chambres d’hôtels.
Le second thème a abordé la sécurité des réseaux avec notamment l’exemple de l’utilisation abusive de téléviseurs d’hôtels en 2024 par les cybercriminels pour le minage de Bitcoin.
Les membres du panel ont convenu que la segmentation du réseau est une manière de limiter les risques de dommages importants. Une vigilance accrue est nécessaire dans le domaine des services connectés. Il est recommandé d’utiliser un réseau privé virtuel (VPN) qui crée une connexion sécurisée et cryptée entre l’utilisateur et le réseau.
Les appareils (ordinateurs, tablettes, téléphones portables) peuvent également présenter un risque (thème 3). On peut citer en exemple la cyberattaque contre Omni Hotels en 2024, au cours de laquelle les systèmes hôteliers ont été mis hors service parce que des pirates informatiques étaient entrés dans le réseau via des appareils mal sécurisés. Les membres du panel ont insisté sur l’importance de mots de passe forts et de l’authentification qui contribuent à empêcher les personnes non autorisées d’accéder aux appareils. Le cryptage des appareils est essentiel pour éviter qu’ils ne soient lus sans les droits d’accès appropriés. De plus, des mises à jour logicielles régulières permettent de corriger les vulnérabilités.
La table ronde s’est terminée sur le thème de la sensibilisation et de la formation des personnes. D’après les participants, il est clair que pratiquement tous les incidents et les cyberattaques réussies sont le résultat de l’ingénierie sociale et de l’hameçonnage.
Les collaborateurs reçoivent un appel téléphonique ou un e-mail d’hameçonnage de pirates informatiques se faisant passer pour des collègues ou une source légitime. Les employés sont alors tentés de divulguer des informations sensibles ou de télécharger des logiciels malveillants. La première mesure à prendre par les hôteliers est donc de sensibiliser le personnel. Selon le panel, il est primordial que les membres du personnel prennent conscience du danger que représente le piratage informatique. Il est donc conseillé de former les employés à reconnaître et à prévenir les cyberattaques telles que les e-mails de phishing et les logiciels malveillants.
Enfin, le panel a recommandé aux hôteliers de se faire accompagner par des partenaires comme Apogado et NVISO. Les hôteliers qui entament un trajet d’amélioration en cybersécurité peuvent compter sur des subsides du gouvernement flamand. Ils peuvent récupérer jusqu’à la moitié de l’investissement.
par Peter Van Oyen / photos : BHC
