Les établissements d’hébergement sont devenus une cible attrayante pour les cybercriminels. Ils sont en effet de plus en plus dépendants de la technologie numérique. Il suffit de penser aux systèmes de réservation en ligne, au traitement des paiements et aux équipements dans les chambres. Autant d’éléments qui fournissent des données comme les noms, les adresses e-mail, les numéros mobiles et des détails de cartes de crédit, pouvant s’avérer précieuses pour les voleurs numériques. Le risque d’une cyberattaque réussie dans un hôtel n’est donc certainement pas hypothétique. Elle entraîne des pertes financières importantes, une atteinte à la réputation et surtout une perte de confiance de la part des clients. Une cybersécurité pertinente est donc indispensable.
Fox&Fish Cyberdefense aide les entreprises à prévenir les cybermenaces et à mettre en place une cybersécurité efficiente. Le spécialiste fait appel à des hackers éthiques qui effectuent des audits et des tests d’intrusion chez les entreprises pour vérifier si leurs systèmes informatiques sont correctement protégés contre les intrusions. Bien souvent, ils constatent des failles de sécurité et un risque réel de cyberattaques. Reinaert Van de Cruys, Ethical Hacker & Partner Fox&Fish Cyberdefense est catégorique :
« Les établissements d’hébergement et les hôtels tiennent pour acquis de sécuriser leurs infrastructures avec des portes solides et des bonnes serrures. Parfois, ils investissent dans un contrôle d’accès et des badges, voire une vidéosurveillance. Mais ils font souvent des erreurs en termes de cybersécurité. Malgré une numérisation et une transformation numérique constantes, ils accordent peu d’attention à l’équivalent numérique de la sécurité d’entreprise. Des portes virtuelles restent ouvertes, et les conséquences sont désastreuses. Le Cyber Security Barometer du gouvernement flamand indique qu’une PME sur huit est actuellement piratée. Un chiffre probablement plus élevé car nombre d’entre elles ne signalent pas de tels problèmes (par honte ?). De plus, la cybercriminalité est en hausse ; les choses évoluent dans le mauvais sens. Les hackers deviennent plus sophistiqués dans le domaine des deepfakes (hypertrucages), de l’intelligence artificielle, etc. Dans le même temps, la plupart des dirigeants d’entreprise continuent de tomber dans les mêmes pièges d’il y a 15 ans, à savoir une mauvaise gestion des mots de passe ou une formation insuffisante du personnel concernant le phishing. »
Qu’est-ce qu’une cyberattaque?
Dans les médias, on parle souvent de ‘fuite de données’, c’est-à-dire un accès non autorisé à des données personnelles, sans permission ni intention. Une fuite de données a en soi un impact sur la confidentialité. Outre des données concernant des personnes physiques, comme les clients ou les collaborateurs, une fuite de données peut également concerner de l’information sensible, comme des accords commerciaux.
Si, en plus de la fuite de données, les cybercriminels transfèrent de l’information ou arrêtent les serveurs, la cyberattaque a alors un impact sur l’intégrité et la disponibilité de l’hôtel. Ce n’est pas uniquement le cas quand les données tombent entre les mains de personnes mal intentionnées. Il est également question de cyberattaque lorsque les données deviennent inaccessibles ou sont supprimées, ou lorsqu’elles sont modifiées sans autorisation.
De nos jours, les piratages ou cyberincidents se produisent principalement à la suite d’une attaque contre les systèmes numériques, par exemple par piratage, hameçonnage et/ou ransomware. Les employés sont incités à cliquer sur un hyperlien, à télécharger une pièce jointe ou à se connecter sur un faux portail. Les criminels s’infiltrent alors dans les systèmes et téléchargent un maximum de données qui sont ensuite cryptées. En échange de la clé de décryptage, les criminels demandent une rançon. Les entreprises qui ne paient pas voient souvent leurs données publiées sur internet.
Impact d’une cyberattaques sur les hôtels
Les hôtels ont été victimes de cyberattaques ou de fuites de données à maintes reprises. Lorsque les pirates informatiques accèdent à des données financières sensibles comme les coordonnées bancaires et les numéros de cartes de crédit, les pertes financières peuvent être considérables. Outre ces pertes, une cyberattaque peut nuire à la réputation de l’hôtel et entraîner une perte de confiance chez les clients.
Dans certains cas, une cyberattaque peut perturber les activités quotidiennes d’un hôtel, entraînant des coûts supplémentaires et des désagréments pour les clients. Si les systèmes sont compromis, les clients peuvent être dans l’incapacité de faire des réservations ou de les modifier, voire d’effectuer des paiements. De telles situations sont frustrantes et peuvent entraîner une baisse significative des revenus. Si la situation perdure, l’impact d’une cyberattaque peut être considérable pour un hôtel.
Reinaert Van de Cruys cite MGM Hotels comme exemple d’une chaîne hôtelière ayant subi les graves conséquences d’une cyberattaque. « MGM Hotels & Resorts à Las Vegas a été piraté en septembre 2023. L’impact a été énorme. On estime que le groupe hôtelier a perdu environ 100 millions de dollars de chiffre d’affaires suite à cet incident et au rétablissement des données. À un moment, le système était totalement hors service et il était impossible pour les clients de réserver une chambre d’hôtel ou d’autres services en ligne. MGM Resorts a alors fait appel à des spécialistes externes en cybersécurité pour désactiver les systèmes et protéger les données. Il a fallu une semaine et demi avant que les services soient rétablis en grande partie. »
D’après le hacker éthique, les cybercriminels ont pu facilement pénétrer dans les systèmes via l’ingénierie sociale. « Les pirates ont utilisé cette technique de manipulation typique, en se faisant passer pour un employé afin d’obtenir ce qu’ils voulaient. Ils ont par exemple consulté le profil LinkedIn d’un employé et se sont faits passer pour lui. Ils ont réussi à obtenir les mots de passe via l’IT pour soidisant
réinitialiser le compte de cette personne. Au bout de 10 minutes, ils étaient dans le système et ont tout bloqué. »
Top trois des cybermenaces les plus courantes pour un hôtel
Il existe plusieurs types de cybermenaces et les hôtels doivent en être conscients. Mais selon Reinaert Van de Cruys, les hôteliers et les informaticiens devraient se concentrer sur un ‘top 3’. Il s’agit de l’ingénierie sociale (phishing), d’attaques par mot de passe et d’appareils mal sécurisés.
- Ingénierie sociale et phishing
Le hacker éthique souligne que la quasi-totalité des incidents et des cyberattaques réussies se produisent par le biais de l’ingénierie sociale : « Neuf incidents sur dix commencent par un appel téléphonique ou un email. Les employés sont appelés ou reçoivent un courriel d’hameçonnage de la part des pirates qui se font passer pour des collègues ou une source légitime. Ils sont ainsi incités à divulguer de l’information sensible ou à télécharger des logiciels malveillants. Le problème est que ces attaques deviennent plus sophistiquées, de sorte que tôt ou tard, l’employé commettra une erreur. Si on commence à reconnaître un certain type d’email, les pirates en inventent d’autres. La dernière tendance consiste à travailler avec des QR codes. De nombreux filtres anti-
spam ne les reconnaissent pas encore car ils les considèrent comme des images. Le lien malveillant n’est alors pas reconnu.”
« Parmi les techniques d’ingénierie sociale, nous observons une utilisation croissante de l’intelligence artificielle (IA) et de l’apprentissage automatique (machine learning) », poursuit Reinaert Van de Cruys. « Si auparavant tout devait être écrit à la main, les cybercriminels utilisent désormais l’IA comme ChatGPT pour automatiser et intensifier leurs attaques. Une autre technique consiste à utiliser la technologie vocale. Fin janvier de cette année, un employé du service financier d’une multinationale a ainsi été invité à participer à un appel vidéo avec des hypertrucages (deepfakes) de collègues, simulant à la fois l’image et le son. Convaincu, l’employé a effectué un virement de 25 millions de dollars américains. Ces cyberattaques plus sophistiquées posent un énorme défi à la cybersécurité. » - Attaques par mot de passe
Les attaques par mot de passe arrivent en deuxième position parmi les cybermenaces dans un hôtel. Reinaert Van de Cruys: « Dans ce type d’attaque, les pirates essaient de deviner ou de craquer les mots de passe pour accéder aux données sensibles des clients ou du personnel de l’hôtel. Le grand risque est celui d’une authentification insuffisante. Or, l’authentification est un élément essentiel de la sécurité dans le monde numérique. Elle permet de vérifier l’identité d’une personne qui tente d’obtenir un accès. Elle garantit que seules les personnes ou les entités autorisées peuvent accéder aux informations ou aux systèmes sensibles. »
« La vérification en deux étapes est une nécessité absolue », continue Reinaert Van de Cruys. « Si vous disposez d’une plateforme sur laquelle vous suivez vos clients, gérez vos factures d’énergie, passez vos commandes, etc., vous devez alors vous connecter à internet. J’espère qu’il ne s’agit pas que d’un simple nom d’utilisateur. Si vous avez 30 employés qui se connectent tous, 15 d’entre eux auront de mauvais mots de passe qui seront facilement trouvés par les pirates. Les hôtels et autres entreprises sont généralement piratés parce qu’ils ont une mauvaise authentification et ne disposent pas d’applications permettant d’effectuer une vérification en deux étapes. Un mot de passe (faible) n’est pas fiable, surtout s’il s’agit de portails de connexion sur internet, auxquels un pirate peut également accéder. » - Des appareils mal sécurisés
Les appareils mal sécurisés constituent un troisième problème. Les appareils au comptoir sont particulièrement vulnérables car plusieurs personnes les utilisent. De nombreux incidents de piratages se produisent parce que les employés téléchargent à leur insu des logiciels malveillants sur ces appareils. En principe, ils devraient être interceptés par les systèmes antivirus, mais il faut alors installer régulièrement des mises à jour. Et c’est là que le bât blesse.
Les serrures et les badges des chambres d’hôtels peuvent également poser problème. Mais Reinaert Van de Cruys relativise quelque peu. Les pirates ne peuvent pas voler de données avec les serrures ou les utiliser pour neutraliser un hôtel. Ils peuvent toutefois pénétrer dans les chambres, mais il faut pour cela arriver sur place, avec le risque d’être filmé. Bien que le piratage des serrures électroniques des chambres d’hôtels soit possible, le hacker éthique le décrit plutôt comme un ‘petit risque’. L’impact du vol et du piratage de données est plus important.
La plupart des dirigeants d’entreprise continuent de tomber dans les mêmes pièges d’il y a 15 ans, à savoir une mauvaise gestion des mots de passe – Reinaert Van de Cruys, Fox&Fish Cyberdefense
Comment rendre un hôtel moins vulnérable aux
cyberattaques?
D’après Reinaert Van de Cruys, les hôtels devraient prendre plusieurs mesures pour devenir moins vulnérables aux pirates et aux voleurs numériques. Il recommande par exemple un audit au cours duquel des spécialistes en cyberdéfense se rendent sur place pour déterminer les problèmes. Le hacker éthique note que si la plupart des hôteliers font des efforts en matière de cybersécurité, ils ne savent souvent pas quels appareils et dispositifs sont disponibles. De plus, les employés sont souvent le maillon faible de la cyberdéfense. Selon lui, former les employés est indispensable.
Reinaert Van de Cruys pense qu’il est préférable que les hôteliers suivent un certain nombre d’étapes pour fermer la porte aux cybercriminels. Il faut former les employés, affiner le système d’authentification, mieux sécuriser les logiciels, les appareils et le wifi, et enfin faire preuve de résilience et prévoir un plan si les choses tournent mal.
- Formez les employés de l’hôtel
« L’ingénierie sociale et le phishing constituent le plus grand danger. La première chose à faire est donc de sensibiliser les employés. Ces personnes ont des identifiants de connexion et travaillent sur des appareils connectés partout. De plus, si elles cliquent sur n’importe quoi et reçoivent des appels téléphoniques, elles risquent tôt ou tard de s’attirer des ennuis. Il est donc important de les sensibiliser au danger du piratage. Il convient de les former à la reconnaissance et à la prévention des cyberattaques, comme les courriels d’hameçonnage et les logiciels malveillants. » - Appliquez une vérification en deux étapes
« Nous ne saurions trop insister sur ce point : appliquez une vérification en deux étapes. C’est vraiment la norme en 2024 et c’est une mesure de sécurité essentielle pour protéger vos comptes en ligne contre les accès non autorisés. Une couche supplémentaire de sécurité est ajoutée, en vous demandant non seulement de saisir votre mot de passe mais aussi d’utiliser une seconde méthode de vérification pour confirmer votre identité. Il devient alors plus difficile pour les pirates d’accéder à vos comptes, même s’ils ont déchiffré votre mot de passe. Il existe plusieurs façons de mettre en place la double vérification. La plus utilisée est l’envoi de codes par sms. Après l’introduction du mot de passe, vous recevez un sms sur votre smartphone avec un code. Introduisez ce code sur le site web ou l’application pour accéder à votre compte. » - Utiliser des mots de passe forts
« Utilisez des mots de passe forts, difficiles à deviner par les pirates. Encouragez vos employés à faire de même sur leurs appareils personnels. » - Mettez vos systèmes logiciels et de sécurité régulièrement à jour
« Assurez-vous que tous les appareils, les logiciels et les systèmes de sécurité soient à jour. N’oubliez pas de sécuriser les réseaux wifi. Installez des pares-feux et des logiciels antivirus pour protéger les appareils contre les menaces extérieures. Mettez ces systèmes à jour régulièrement pour qu’ils soient efficaces. » - Prévoyez un plan d’urgence
« Il faut avoir un plan d’urgence si jamais les choses tournent mal. Même si votre hôtel est piraté, tout n’est pas perdu. En réagissant rapidement, vous pouvez réduire l’impact. Voilà pourquoi il est important de savoir quoi faire et qui contacter si le système tombe en panne. Chercher de l’information sur Google vous fera perdre un temps précieux », conclut Reinaert Van de Cruys.