Les hôtels dans la ligne de mire des pirates, la technologie remplaçant la touche personnelle.
Les entreprises du secteur de l’hôtellerie et de la restauration sont les troisièmes plus visées par les cyberattaques car elles recueillent davantage de données sur leurs clients.
Les hôtels et les entreprises du secteur de l’hôtellerie sont désormais les troisièmes plus visés par les cyberattaques, tous secteurs confondus. Bien qu’il s’agisse d’entreprises de type « brique et mortier », créées pour profiter physiquement de leurs services, elles sont devenues une mine de données pour les pirates informatiques aux intentions malveillantes.
Avant que Covid-19 ne contraigne les hôtels à une période de deux ans de fermetures ponctuelles, ils étaient victimes de 13 % des cyber-menaces, selon le rapport 2020 de Trustwave sur la sécurité mondiale, soit un peu moins que les sociétés de vente au détail et les services financiers.
Et alors que les hôtels sont confrontés à une reprise difficile en cas de pandémie et à des pénuries aiguës de personnel, l’utilisation accrue de la technologie pour remplacer les services en face à face tels que l’enregistrement et les paiements sur place n’a fait qu’accroître ce risque.
« Historiquement, l’hôtellerie a toujours été un service personnel, mais je pense qu’ils ont commencé à réaliser que la technologie peut faciliter beaucoup de choses », déclare Tristan Gadsby, directeur général du cabinet de conseil en hôtellerie Alliants.
Ce qui aurait été auparavant, par exemple, un chat en personne ou une conversation téléphonique, note Gadsby, est maintenant plus souvent un échange de chat virtuel. « Nous constatons que trois fois plus de messages sont envoyés post-Covid, par rapport à pré-Covid, par invité. »
Signe des temps, le département américain du commerce a publié l’année dernière sa première série de directives sur la manière dont les hôtels doivent sécuriser les données des clients et les systèmes logiciels critiques.
Entre-temps, les autorités qui surveillent la propagation de Covid ont également exigé davantage de données de la part des hôtels, notamment les coordonnées des clients et leur état de santé.
Thomas Magnuson, fondateur de Magnuson Hotels, une société qui chapeaute des centaines d’établissements indépendants, explique que son entreprise s’efforce de recueillir un minimum d’informations auprès des clients, car « parfois, quand on voyage, on a l’impression que c’est la plus grande saisie de données de tous les temps ».
Les pirates considèrent les chaînes hôtelières internationales, qui traitent un énorme volume de transactions, comme des proies faciles. Les groupes hôteliers gèrent également de précieux programmes de fidélisation comptant des millions de membres, qui communiquent leurs données afin de gagner des points et d’améliorer leurs séjours.
L’un des cyberincidents les plus médiatisés de ces derniers temps a été la violation de la base de données de Starwood en 2014, avant que le groupe ne soit racheté par Marriott, la plus grande chaîne hôtelière du monde. Ce piratage, qui n’a été découvert qu’après la transaction, a exposé les données d’environ un demi-milliard de clients, a indiqué Marriott, lorsqu’il a révélé l’impact en 2018.
Dans le cadre d’un test pour le Règlement général sur la protection des données (RGPD) de l’Europe, alors relativement nouveau, Marriott a ensuite été condamné à une amende de 18,4 millions de livres sterling par le régulateur britannique des données, agissant au nom de l’UE – bien moins que la pénalité de 99 millions de livres sterling initialement menacée.
Le volume de données dont [les hôtels] disposent est légendaire, et leurs procédures de conservation des données doivent donc être vraiment à la hauteur.
Marriott, qui indique dans sa déclaration de confidentialité qu’il collecte 15 types de données différents tout au long du séjour d’un client, des adresses électroniques aux informations relatives aux passeports en passant par les langues préférées, a depuis « redoublé » ses efforts « pour détecter les menaces et y répondre », selon Arno Van der Walt, son responsable de la sécurité informatique.
La société a accéléré les investissements prévus dans la sécurité des données et l’amélioration des technologies, comme les logiciels qui détectent les cybercomportements suspects en temps réel, ajoute M. Van der Walt.
Pourtant, les hôtels peuvent être vulnérables à toute une série de cyberattaques, des rançongiciels aux intrusions plus spécifiques, comme DarkHotel, un type de piratage qui cible les clients d’affaires de haut niveau par le biais du réseau WiFi d’un hôtel.
Les hôtels de luxe constituent un vivier particulièrement alléchant pour les criminels. En août 2020, des escrocs ont piraté le système de réservation de restaurants de l’hôtel Ritz de Londres dans le but de convaincre les clients de transmettre leurs précieuses informations de paiement.
« Le volume de données dont [les hôtels] disposent est légendaire, par conséquent leurs procédures de conservation des données doivent être vraiment à la hauteur », souligne Fedelma Good, coresponsable de la pratique de protection des données de PwC.
Avec le développement des services d’informatique dématérialisée, les hôtels ont confié le stockage de leurs données à des détenteurs externes tels qu’Amazon Web Services ou Oracle, ce qui signifie au moins que les systèmes sont supervisés par des experts en logiciels, selon les dirigeants.

De nombreux hôteliers emploient en outre des agences tierces pour gérer les données relatives aux cartes de crédit et séparer les différentes formes de données : « Il suffit d’appuyer sur un bouton pour savoir à quelle heure [un client] s’est enregistré, à quelle heure il est parti, à quelle heure il a déjeuné », explique Sean McKeown, secrétaire général du groupe hôtelier irlandais Dalata. « J’ai des caméras de surveillance, mais elles ne sont pas toutes au même endroit ».
Cependant, la sécurité n’est pas bon marché pour les hôtels déjà à court d’argent. Selon M. Gadsby, la réalisation d’un seul test de pénétration visant à déceler les vulnérabilités des systèmes informatiques peut coûter jusqu’à 25 000 dollars.
La formation du personnel est cruciale. Plusieurs directeurs d’hôtel soulignent que c’est lorsque le personnel manipule les données des clients que les informations sont le plus susceptibles de s’échapper.
« Vous ne songeriez pas à nommer un chef cuisinier qui ne connaîtrait pas l’hygiène, alors pourquoi nommer un responsable du marketing qui n’aurait pas une connaissance approfondie de la protection des données », demande McKeown. Il affirme que Dalata a dépensé des dizaines de milliers de dollars pour mettre à niveau les systèmes de sécurité informatique et former les employés.
–
Ce guide vous aide à trouver votre hôtel séminaire.