Cet article a été écrit par Tom Travel. Cliquez ici pour lire l'article d'origine
Si vous êtes l'auteur de cet article, cliquez ici pour découvrir comment la republication de votre article améliore votre SEO et votre visibilité !
Marnie Wilking, Chief Security Officer de Booking.com, était à Paris ce 29 avril 2025 pour évoquer les cybermenaces auxquelles est confrontée la plateforme de réservation d’hébergement en ligne. Cette rencontre avec les médias a été l’occasion d’évoquer les différentes formes que peuvent prendre ces cybermenaces et la palette de réponses dont dispose aujourd’hui l’opérateur néerlandais, récemment ciblé par des campagnes de phishing, pour y faire face, par des campagnes de sensibilisation et des renforcements de l’authentification.
Pourquoi un acteur comme Booking.com est particulièrement exposé aux cybermenaces ?
Marnie Wilking, Chief Security Officer de Booking.com. Crédits : TOM.travel
Marnie Wilking : Je dirais qu’il n’y a rien de vraiment spécifique à Booking.com, si ce n’est que nous sommes en ligne et que nous faisons du commerce électronique et du voyage. Tout le monde est confronté, l’industrie du voyage n’y échappe pas, à une augmentation des attaques par hameçonnage. La cible, l’opportunité pour les attaquants, est la monétisation. C’est ce qu’ils recherchent toujours. Historiquement les banques ont toujours été un vecteur d’attaque important parce qu’elles détiennent l’argent. La santé est devenue une cible au début des années 2000, principalement par la fraude à l’assurance.
Dans l’industrie du voyage en particulier, le moyen de monétiser est d’obtenir des informations sur les cartes de crédit. Plus vous obtenez d’informations sur les voyageurs, plus vous pouvez leur dire qu’il s’agit d’une urgence, que leur réservation va être annulée, ou leur chambre déclassée, toutes sortes de choses qu’ils ne souhaitent pas. Les gens paniquent et donnent les informations de leur carte de crédit. Je pense donc qu’il s’agit d’un phénomène relativement nouveau et en pleine expansion, mais explicable par la possibilité de le monétiser.
Par ailleurs, il y a des profils de partenaires et des profils de voyageurs qui ne savent pas nécessairement se prémunir contre ces risques, par manque d »expérience, d’informations, ou parce qu’ils n’ont pas d’équipe informatique ou d’équipe de sécurité.
Par conséquent Booking.com fait ce travail de sensibilisation, d’information auprès de ses clients et de ses partenaires ?
Une partie de ces informations consiste à dire » voici les escroqueries que nous constatons, voila la manière de se protéger, et voila ce qu’il faut rechercher et ce qu’il faut faire si l’on pense être concerné ». Nous essayons de les aider autant que possible. Booking.com fait la distinction entre ses partenaires. Ainsi, lorsque nous échangeons avec de grandes chaînes, le traitement est différent que pour les petites chaînes et des propriétaires individuels. Les grandes chaînes comme Marriott, Hilton et Hyatt ont leurs propres programmes de sécurité. Elles gèrent leurs systèmes de manière cohérente. Pour les franchisés c’est parfois un peu différent, mais je ne vais pas leur imposer ma propre vue parce qu’ils ont leur propre formation qu’ils veulent suivre et je ne veux pas qu’il y ait de conflit.
L’une des signes qui indiquent que nos efforts portent leurs fruits est que nous avons constaté une augmentation du nombre de tickets reçu par le support à propos de tentatives de phishing. Cela s’accompagne d’une baisse de l’impact : les gens reçoivent toujours des tentatives de phishing et nous le signalent désormais.
Outre ce travail de sensibilisation, quelles sont les mesures concrètes adoptées par Booking.com pour prévenir ces attaques ?
Nous utilisons un mot de passe à usage unique. Si vous allez dans notre système, en particulier si vous ne vous êtes pas connecté depuis un certain temps, si vous utilisez un appareil différent, ou dans une région différente, si vous entrez une nouvelle carte de crédit, en tant que voyageur, nous vous enverrons un code d’accès à votre adresse électronique.
Pour les partenaires, c’est un peu différent car ils doivent se connecter à notre système extranet, c’est-à-dire le portail auquel les partenaires accèdent. Nous pouvons leur envoyer un code sur leur téléphone ou leur demander de s’authentifier sur une application qui permet d’approuver une connexion. Cela ajoute une certaine friction, il faut un peu plus de temps pour se connecter. Et lorsqu’il s’agit de personnes comme des propriétaires qui louent leur appartement, cela nécessite parfois un peu d’accompagnement pour s’assurer que cette démarche est comprise.
Quand nous avons commencé à bloquer les pièces jointes et les liens malveillants dans les messages, nous avions besoin de transmettre cette information aux partenaires pour qu’il ne soit pas surpris. Nous avons donc utilisé le Partners Hub pour informer des changements que mettions en œuvre pour les protéger.
Nous avons également acheté un certain nombre de domaines différents qui ressemblent à booking.com juste pour les détenir et nous redirigerons vers booking.com dans la plupart des cas. C’est pourquoi nous utilisons des services qui surveillent l’Internet à la recherche de domaines et de sites internet qui pourraient ressembler à « booking.com ».
La communication sur les questions de cybersécurité est-elle en train d’évoluer ? Est-ce une volonté de Booking.com d’évoquer désormais ces questions et les dispositions prises ?
Oui, absolument. Cela fait 30 ans que je m’efforce d’éduquer sur ces questions et que je me demande comment faire pour que de plus en plus de personnes partagent nos connaissances. Il y a 50 ou 60 ans, très peu de gens savaient faire fonctionner un ordinateur, aujourd’hui on en a tous un. C’est important que les gens comprennent ce qu’il se passe, comment ils peuvent se protéger, ce que sont les menaces et les risques afin de prendre les bonnes décisions. C’est intéressant d’observer que les jeunes générations ont davantage confiance dans les technologies numériques. Il faut espérer qu’ils seront aussi mieux sensibilisés parce qu’on en parle davantage : « Faites attention aux arnaques, on s’occupe de bloquer les méchants pour vous, mais pour qu’on soit tous protégés, on doit tous s’y mettre. »
Photo d’ouverture : Tom.travel
À lire aussi :
