La période estivale est régulièrement accompagnée par une recrudescence de cyberattaques envers les hôtels qui sont justement complets et occupés. Les employés opérationnels sont des cibles principales pour rentrer dans les systèmes de l’hôtel et récupérer les données personnelles des clients. Ces derniers ne sont pas toujours bien formés sur la détection de ces attaques et sont trop submergés pour rester vigilants à tout moment. L’erreur humaine est pourtant malheureusement la cause principale des cas de cyberattaques (74%), le phishing restant en tête des types d’attaques. Les nouveaux outils d’IA ou les deepfakes ont d’ailleurs rendu les menaces plus performantes et moins détectables, et contribué à une augmentation de 500 à 900 % des attaques depuis le lancement de ChatGPT.
Pour rappel, l’établissement hôtelier est responsable du traitement des données de ses clients, même en faisant appel à une solution de gestion des données. L’établissement a le devoir de garantir à ses clients la gestion et la maîtrise de leurs données personnelles et confidentielles, en accord avec le RGPD.
Les 5 points de base pour sécuriser les données de vos clients :
- Outiller vos équipes
- Former les équipes de l’importance d’une vigilance constante
- Activer le niveau le plus élevé de sécurité sur vos logiciels
- Ne jamais utiliser deux fois le même mot de passe
- Exiger de vos prestataires un rapport de tests d’intrusion
Le choix de vos prestataires technologiques est crucial. Vos outils doivent être fiables, sécurisés, stables et vous donner la main sur la gestion des utilisateurs, des droits d’édition (droits administrateurs), etc. Les mises à jour doivent être régulières, pour justement corriger de potentielles failles.
L’ergonomie de la solution est également importante et la solution doit être rapide à utiliser, pour optimiser un paramétrage favorisant la sécurité.
Comme mentionné précédemment, les trois quarts des cyberattaques sont causées par des facteurs humains. Les employés sont les premières cibles et doivent être formés et rappelés régulièrement à la vigilance. Des étapes de vérification basique peuvent déjà déjouer de nombreuses attaques (test du nom de domaine d’un e-mail, vérification systématique avec les personnes concernées par d’autres canaux de communication, etc.). Il convient de former tous les employés sur ces sujets, et de rappeler plusieurs fois par an les bonnes pratiques et risques en matière de cybersécurité.
La double authentification (2FA) est le protocole de sécurité le plus répandu, au vu de son niveau de protection et de sa simplicité de mise en place. Proposé sur de nombreux sites et applications, il requiert deux facteurs : un mot de passe et un appareil (comme un téléphone portable). Il peut être judicieux d’utiliser un téléphone dédié pour la réception par exemple, pour l’envoi des codes de sécurité. Certaines solutions permettent d’enregistrer un appareil (comme un ordinateur) comme appareil de confiance, et évitent d’avoir un code de sécurité à remplir plusieurs fois par jour aux différentes connexions quotidiennes.
Nul ne peut retenir tous ses mots de passe. Si c’est le cas, c’est que ceux-ci ne sont pas assez sécurisés voire sont utilisés sur plusieurs identifiants. À l’aide d’un gestionnaire de mots de passe sur téléphone ou ordinateur, aucun besoin de retenir tous ses accès, et il est simple de partager ses identifiants avec d’autres membres de l’équipe simplement et en toute sécurité. Ces outils permettent également de mieux sécuriser les mots de passe avec des combinaisons beaucoup plus complexes et longues, ce qui les rend plus difficiles à craquer.
Les tests d’intrusion, également appelés pen-test ou penetration tests, sont effectués par une entreprise tierce experte en sécurité informatique qui va tenter de détecter des brèches ou failles de sécurité d’une solution. Un fournisseur de solution qui gère des données personnelles est tenu d’en réaliser pour maintenir son système de sécurité à jour.
Cette liste n’est pas exhaustive, si vous souhaitez avoir un peu plus d’informations sur les cas de cyberattaques et comment les prévenir, consultez cet article sur les bases de la cybersécurité en hôtellerie sur lequel vous pourrez également visionner un webinaire sur le sujet.
Quant au choix de vos prestataires technologiques, consultez et téléchargez notre check-list pour évaluer au mieux l’aptitude de ces fournisseurs en matière de sécurité.