Pourquoi les cybercriminels iraient-ils attaquer les hôtels ? On pense souvent que leurs ambitions se limitent aux seules institutions financières et grandes sociétés internationales. Or, cette époque est révolue. Pour comprendre le phénomène, il faut tout d´abord savoir qu´aujourd´hui les PME sont des cibles de plus en plus privilégiées. En effet, selon l´étude PwC (*), les coûts financiers induits par des incidents de sécurité ont augmenté de 100 % pour les PME, alors que pour les grandes entreprises, ils ont diminué de 20 %. S´agissant des grandes chaînes d´hôtels, le constat est le même : il est plus facile d´attaquer une cible moins bien préparée que des cibles habituées à subir des attaques et qui sont dotées du bon niveau de protection.

Les données sensibles

Les hôtels ont de plus pour particularité de traiter des données clients très sensibles (cartes de crédit, données personnelles, habitudes des clients...). Cela représente une vraie mine d´or pour des cybercriminels qui pourraient réutiliser ces informations lors d´autres attaques, ou encore les vendre à des groupes de malfaiteurs ou les publier sur le DarkWeb.

La méthode la plus connue, dite du « Spear Phishing », consiste à obtenir des informations sur une personne en particulier afin de pouvoir la manipuler et lui extorquer de l´argent. Une technique d´escroquerie éprouvée est la « Fraude au président » : le hacker usurpe l´identité d´un riche client à l´aide d´informations personnelles récoltées au préalable, par exemple volées dans un hôtel, afin d´obtenir de l´argent d´un employé de sa propre banque.

Exemples

Mais revenons sur des exemples concrets. Début 2015, White Lodging Services Corporation, une franchise d´hôtels comprenant les propriétés Marriott basées en Indiana, a reporté une cyberbrèche (faille permettant à des criminels d´avoir accès au réseau et aux données) qui a duré sept mois ! Début 2016, c´est au tour de la chaîne Hyatt d´annoncer un vol de données massif de cartes de crédit et d´informations de clients sur plus de 250 établissements dans le monde.

Ce type d´évènement est devenu le pire cauchemar de tous les hôtels, mais pas seulement. Selon le rapport 2016 PwC Global CEO Survey, qui compile les réponses de 1409 CEO dans 83 pays, 59 % d´entre eux placent les cyber-risques dans le top 3 des menaces pour un développement des affaires efficace et sûr.

Et ils ont raison. L´avènement de l´Internet des objets ouvre des possibilités quasi infinies aux hackers d´aujourd´hui. Alors que le nombre d´objets connectés continue d´augmenter - il atteindra plus de

30 milliards d´ici 2020, les enjeux en termes de sécurisation des réseaux se sont démultipliés. Les investissements destinés à répondre à ces enjeux ont doublé en 2015, mais seuls 36 % des répondants ont une stratégie dédiée à l´Internet des objets.

En plus de ce plus grand périmètre à protéger, notons que le nombre de cyberattaques recensées a progressé de 38 % dans le monde en 2015. Les budgets de la sécurité des entreprises n´ont, quant à eux, augmenté que de 24 % (*).

Deux constats

Ceci amène à deux constats : les investissements relatifs à la sécurité sont plus souvent liés à des exigences réglementaires que découlant d´une volonté et les managers d´hôtels pensent qu´externaliser les préserve de tous problèmes. Il est temps que les mentalités changent : les hôtels doivent non seulement gérer des données bancaires ou personnelles de leurs clients, mais également intégrer les cyber-risques dans leur mode de fonctionnement.

À cet égard, il est nécessaire que les hôtels se posent une série de questions :

  • Une politique de sécurité globale basée sur une méthodologie de sécurité (p. ex. ISO 27000) est-elle définie, validée et revue ?
  • Disposons-nous d´une personne responsable des activités liées à la sécurité informatique (p. ex. CISO/CSO) ? Avons-nous les ressources nécessaires en termes de compétences et de capacité ?
  • Effectuons-nous une évaluation annuelle des risques internes et externes sur la confidentialité, l´intégrité et la sécurité des données ?
  • Quels sont nos « Joyaux de la Couronne » ? Détenons-nous un inventaire précis de ces derniers (p. ex. données clients, employés, propriété intellectuelle) ?
  • Quelles sont les mesures technologiques fortes que nous avons définies pour la prévention et la détection d´incidents de sécurité tels que la fuite de données ?
  • Quels sont les contrôles mis en oeuvre pour minimiser les risques humains, en particulier liés aux collaborateurs clés ?
  • Quels sont nos fournisseurs de services externes qui détiennent nos données clés ? En avons-nous un inventaire précis ?
  • Effectuons-nous des tests d´intrusion interne et externe sur nos applications et notre infrastructure clés afin d´évaluer nos faiblesses ?
  • Un processus de gestion de cyberincidents est-il défini et testé régulièrement ?
  • Comment collaborons-nous avec nos pairs ?

Heureusement, de nouvelles approches existent qui permettent aux entreprises d´anticiper des menaces, en recourant à des services dits de « Threat Intelligence ». Il s´agit de systèmes de renseignements sur les menaces élaborés à partir d´un très grand nombre de données recueillies sur Internet, sur les clouds, sur les parties cachées des réseaux, les réseaux sociaux et bien d´autres endroits encore. Grâce à ces systèmes, les entreprises pourront connaître à l´avance les menaces qui pèsent sur leurs établissements et ainsi réagir de manière proactive et non plus de manière réactive.

Conclusion

Pour conclure sur une note d´espoir, malgré la situation alarmante pour les hôtels, on peut escompter que la prise de conscience mondiale suite aux récents évènements ouvrira la voie à des opportunités d´amélioration ces prochains mois.

Il faut agir maintenant, car la question n´est plus de savoir si votre organisation va être victime d´une cyberattaque, mais plutôt comment se préparer et comment y répondre!