La sécurité informatique dans l’hôtellerie fait l’actu...
| Tweet |
Le détournement des coordonnées de carte de crédit, notamment dans le tourisme, a poussé les entités Visa, Mastercard et American Express à mettre en place des standards de sécurité qui s’imposent petit à petit à tous les professionnels, ajoutant souvent une couche de coût...
L’actualité fait état d’une rançon exigée par des hackers auprès d’un resort hôtel de luxe autrichien (quel intérêt à mentionner son nom sauf à faire dans le style Voici ?) : « 1.500 € en Bitcoin et les clients pourront sortir/entrer de leur chambre ». En effet le hacker avait trouvé une brèche de sécurité, s’y était engouffré et avait bloqué toutes les serrures de chambre avec des clients parfois enfermés.
Vu la modicité de la somme et le fait que l’hôtel était plein, le directeur d’hôtel a préféré payer vite. Le hacker avait laissé la porte de son méfait ouverte mais lorsque qu’il voulut réitérer l’opération, se trouva devant une porte close... Une société de sécurité était passée par là et avait rendu étanches les ports ouverts (pour faire très simple, en informatique, le port d’une machine est une porte ouverte à chaque interlocuteur de cette machine. Certains services utilisent toujours le même numéro de port). Comme pour n’importe quelle porte, la présence d’une serrure est souvent recommandée. En tous les cas, l’absence de serrure sur des services essentiels est une erreur bien trop fréquente.
Flashback sur TH
Qui a lu nos articles :
- de 2011 « Cyber-attaques dans les hôtels : 3 grandes associations hôtelières américaines (HTNG, HFTP et AH&LA) émettent des recommandations »
- de 2013 « Les hôtels sont-ils fâchés avec la cybersécurité ? »
Keskonfé alors ?
Les hackers sont de plus en plus malins, néanmoins les règles de base restent les mêmes : un firewall, des serrures sur toutes les portes, élimination des mots de passe par défaut (un peu comme le « 0000 » quand on reçoit une nouvelle carte sim)...
Au delà de ces règles de base qui s’appliquent partout, il est important de responsabiliser ses fournisseurs de technologie, notamment ceux qui interviennent à distance sur le réseau interne de l’hôtel : bien évidemment avec une ou plueirs clauses dans le contrat, mais également dans la procédure utilisée par les techniciens.
Pour les plus peureux ou ceux qui n’arrivent pas à obtenir de réponse fiable de leurs prestataires, faire réaliser un audit de sécurité par une entreprise spécialisée est simple. En cas de faille due à un prestataire, le mettre en demeure de mettre des procédures en place sera une évidence et la négociation pourra bien évidemment inclure le coût de l’audit...
Soyez certain(e) qu’en cas de défaillance, aucune assurance ne couvrira les dégâts si l’hôtel n’a jamais rien fait. Aussi, un audit régulier permet de montrer la bonne fois de l’entreprise...
Conclusion
Comme le rappelait récemment le brillant fondateur d’OVH, Octave Klaba « Les attaques DDoS, c’est une guerre qui n’a pas de fin ». L’attaque de l’hôtel n’est pas une attaque par DDoS, néanmoins elle relève de la même volonté malfaisante et il n’y a jamais de gagnant à vie : un hacker va passer à travers les mailles du filet de temps en temps, mais pas tout le temps. Le meilleur moyen est donc de surveiller ce qui se passe et de gérer le risque comme tous les autres risques : procédure en cas de problème, assurance, vérification des extincteurs, vérification régulière de l’alarme, formation du personnel, etc...
Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/7376 vers sa source
ou le QR Code accessible à l'adresse https://suiv.me/7376.qr. Voir le mode d'emploi. |
| Tweet |
