Agence de Conseil en hôtellerie et gastronomie

La stratégie informatique de l’hôtel est l’un des enjeux majeurs du développement de tout établissement et garant de sa sécurité.

Inspire Conseil a participé à un séminaire sur les risques en matière de sécurité des systèmes d’information et sur la protection des données. Notre démarche aujourd’hui est de partager avec vous, professionnels de l’hôtellerie les faits méconnus qui peuvent être encourus chaque jour.  Ainsi, nous souhaitons être le relais d’une première série de recommandation ou conseil établis par l’agence nationale de la sécurité des systèmes d’information.

Les enjeux de la transformation numérique

La stratégie informatique de l’hôtel et les nouvelles technologies font partie intégrante de l’hôtellerie du futur. Email, réservation, fichier client, contrat, paiement en ligne, facturation, communication digitale et gestion de la e-reputation par le community manager …cette incontournable évolution fait apparaitre des risques nouveaux. Ces risques concernent le vol de données client, l’escroquerie financière, le sabotage du site internet…

De plus, le manque de personnel, la méconnaissance des règles à suivre et le manque de formation entraînent un désintérêt pour la prévention en terme de sécurité informatique.

En conséquence, les retombées sont alors très lourdes pour l’établissement.

En 2015, 13% des entreprises de 15 salariés et plus en France ont été touchées par le piratage informatique. 57 % des PME sont des cibles potentielles (info Symantec). Les atteintes ont pour objectifs la communication, la réputation, le risque financier, le risque informatique, le savoir-faire, la désorganisation. Les attaques sont aléatoires et ne sont pas liées au cœur du métier de l’hôtellerie. 80 % des entreprises qui ont perdu leurs données informatiques ont fait faillite dans les douze mois.

La tendance 2018

La tendance 2018 révèle des outils d’attaque de plus en plus nombreux et moins onéreux (certains sont même gratuits). Les attaquants sont de plus en plus organisés et bénéficient de la futilité de l’authentification. D’ici 2035, la moitié des entreprises auront disparu si elles ne s’adaptent pas.

Quelques exemples de cybermenaces ?

En cas de fraude au faux ordre de virement : le fait de faire valider une transaction au nom du dirigeant après avoir fait une recherche d’information via les réseaux sociaux. Il faut donc maîtriser l’image et l’information que chacun publie (ne pas publier de post pour indiquer quand vous partez en déplacement, ni le pays, ni la période). Et améliorer les procédures de virement avec votre département financier.

Un autre exemple de cybermenace appelé le phishing : la réception d’un courrier électronique avec un lien indésirable.

Le ransomware : c’est une attaque ciblée pour bloquer l’ordinateur et demander une rançon. Il ne faut jamais payer. Car les données sont définitivement perdues.

La stratégie informatique de l’hôtel et ses pratiques

Comment améliorer la maîtrise de votre environnement numérique et établir une stratégie informatique ?

Les recommandations ci-dessous sont issues de l’observation des attaques réussies et de leurs causes. Chaque établissement hôtelier et chaque restaurant doit les mettre en place avec l’ensemble de son personnel, quelque soit la taille de la structure. Il faut des compétences techniques et maintenir quotidiennement une défense.

Usage professionnel et usage personnel

Il est recommandé de ne pas faire suivre de message professionnel sur un service de messagerie personnelle. Il ne faut pas héberger de donnée professionnelle sur tout équipement personnel comme le téléphone, une clé USB ou sur un stockage en ligne personnel.

Toute connexion d’un support mobile personnel sur un ordinateur de l’hôtel est à proscrire.

Une personne malveillante pourra ainsi voler des données confidentielles après avoir pris le contrôle de l’équipement personnel.

Mot de passe

C’est un outil d’authentification qui protègent des informations. Il doit donc être personnel, unique. Il doit être complexe, avec des caractères spéciaux.  L’hôtel doit déterminer des règles de choix et de longueur et les faire respecter. Il faut toujours modifier les éléments d’authentification par défaut sur chaque équipement. Et ne pas pré- enregistrer le mot de passe dans le navigateur.

Mise à jour et sauvegarde

L’hôtel veille également à faire appliquer une politique de mise à jour régulière. Soit par le service informatique, soit par chaque collaborateur. Chaque logiciel doit avoir une configuration de mise à jour automatique.

Une sauvegarde régulière quotidienne ou hebdomadaire sur un support externe (disque dur externe, CD ou DVD) est ensuite rangée à l’extérieur de l’établissement hôtelier, ceci pour éviter le vol ou la destruction des données d’origine. Attention, les sites de stockage sur internet dits « cloud » peuvent être la cible d’une attaque informatique.

Utilisateur ou administrateur

Chaque professionnel du tourisme doit avoir accès quotidiennement à son ordinateur par un compte « utilisateur ». le compte « administrateur » doit être réservé à la personne qui va mettre à jour les logiciels, modifier la politique de sécurité, gérer les comptes utilisateurs. Le compte administrateur ne doit pas être utilisé pour une navigation sur internet.

Avec l’utilisation d’un compte utilisateur, un programme malveillant n’aura pas accès à l’ensemble des données d’un service. Il faut établir une procédure de suivi des arrivées et départs des collaborateurs afin de révoquer les droits lors d’un départ de l’hôtel.

Accès wi-fi

Un wi-fi non sécurisé permet à des personnes d’utiliser la connexion wi-fi pour effectuer une opération malveillante et intercepter des données. Une installation filaire est plus performante. Ne pas laisser un prestataire extérieur ou un client se connecter sur votre réseau wi-fi ou filaire.

E-mail

Le e-mail frauduleux ou sa pièce jointe jouent un rôle central dans l’attaque informatique. Il faut toujours vérifier l’identité de l’expéditeur avec le contenu du message. Ne jamais ouvrir de pièce jointe d’un destinataire inconnu dont le format ou le titre ne semble pas cohérent avec les envois que vous avez habituellement. Si un lien apparait dans le email, passer la souris dessus sans cliquer et l’adresse du site s’affiche. Il ne faut jamais relayer de message type chaîne de lettre, appel à la solidarité…

Smartphone

Le smartphone est peu sécurisé. Il ne faut donc pas télécharger d’application qui ne soit pas nécessaire et qui demande un accès à des données qui ne concernent pas l’application. Vous pouvez configurer le smartphone afin qu’il se verrouille automatiquement avec un code.

Programme téléchargé

Il faut télécharger tout programme sur le site de l’éditeur ou un site de confiance et désactiver toute case qui propose d’installer un logiciel complémentaire. Etre vigilant sur les liens sponsorisés.

Déplacement

L’ordinateur portable, la tablette ou le smartphone facilitent le déplacement professionnel.  Lors d’un voyage, il faut veiller à la sécurité des informations. Il faut utiliser du matériel uniquement dédié à la mission. N’hésitez pas à apposer un signe distinctif sur l’appareil “nomade” afin de s’assurer qu’il n’y a pas eu d’échange (dans un lieu public, un salon …)

Ne pas utiliser le wi-fi public proposé dans lieux publics tels que la gare, l’aéroport, le hall d’hôtel. Et ne jamais partager sa connexion. Désactiver les fonctions wi-fi et Bluetooth. Eviter de connecter les équipements à des postes qui ne sont pas de confiance. Par exemple, pour échanger des documents lors d’une présentation commerciale, utiliser une clé USB destinée uniquement à cet usage. Après chaque déplacement, penser à effacer l’historique des appels et de navigation. N’oubliez pas de changer les mots de passe utilisés pendant le voyage. Ne pas utiliser de clé USB offerte en salon, réunion… elles sont susceptibles de contenir un programme malveillant.

Identité numérique

Des pirates récoltent les informations personnelles, afin d’usurper une identité, accéder au matériel informatique, découvrir les mots de passe … Il faut donc être vigilant sur les formulaires à compléter en ligne, décocher toute case qui autorise le site à conserver ou partager les données. Sensibiliser chacun à donner un minimum d’information personnelle et professionnelle sur les réseaux sociaux et créer plusieurs adresses électroniques selon les activités à mener.

Mesures complémentaires

Dans ce process de stratégie informatique, le dirigeant doit désigner une personne référente qui va rédiger la charte informatique et qui va mettre en place une solution de sécurité sur chaque poste dans l’hôtel.

Nous vous conseillons de penser à éteindre l’ordinateur pendant une période d’inactivité prolongée (nuit, week end, vacances…). De plus, vous devez surveiller les systèmes pour réagir à tout évènement suspect tel qu’une connexion hors de l’horaire habituel, un transfert massif d’informations en dehors de l’hôtel, une tentative de connexion sur un compte non actif etc.

La sécurité numérique est donc aussi importante que le développement de l’hôtel. Il faut prendre conscience que la donnée immatérielle a autant d’importance que la donnée matérielle.

Aucune donnée importante ne doit sortir de l’établissement. La veille est nécessaire dans votre stratégie informatique, menée au quotidien de l’activité pour connaître parfaitement l’environnement et les risques. Le maillon faible de la sécurité dans l’hôtellerie comme dans tout autre secteur est l’humain. Les dirigeants hôteliers doivent sensibiliser les équipes.

Il est important que toute infraction puisse faire l’objet d’une plainte auprès de la gendarmerie qui possède une cellule spéciale pour analyser la typologie de chaque attaque.

Faire  ace aux cybermenaces

Un dernier conseil en cas de cybermenaces, voici des liens utiles à votre stratégie informatique :

Signaler un contenu illicite : https://www.internet-signalement.gouv.fr

Signaler un phishing : https://phishing-initiative.fr/contrib/

Assistance aux victimes d’actes de cybermalveillance : 10 000 notifications d’attaques ont été enregistrées depuis sa création : https://cybermalveillance.gouv.fr

 

Pour les professionnels des Alpes Maritimes :

Gendarmerie nationale – Pole Intelligence Economique : Adjudants Barré et Citérin : pole-ie-sophia@gendarmerie.interieur.gouv.fr

 

Source : http://www.ssi.gouv.fr/

Crédit Photo : Afnor