Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

7 minutes de lecture

Comment prévenir les attaques de logiciels malveillants et promouvoir la cybersécurité dans votre hôtel

Avatar

Jordan Hollander dans Opérations

Dernière mise à jour Janvier 26, 2022

description de l’image

Avez-vous 1,6 million de dollars en réserve ? C'est le montant moyen que les experts en sécurité estiment désormais qu'une entreprise doit récupérer d'un cyberattaques contenant des logiciels malveillants.

Les hôtels sont des cibles faciles pour les pirates informatiques. La cybersécurité n'est pas une chose en laquelle beaucoup d'hôtels ont confiance. "L'année dernière, les deux plus grands rapports mondiaux sur les violations de données, Trustwave's Global Security Report et Verizon's Data Breach Investigation Report, montrent tous deux que l'hôtellerie continue de lutter dans ce domaine. Verizon, entre-temps, rapporte que l'hébergement, la nourriture et l'hébergement représentaient près de 54 % de leur charge de travail", déclare Bob Russo, directeur général du Conseil des normes de sécurité PCI.

Chaque fois que les dossiers des clients d'un hôtel sont violés, la propriété est alourdie par des contraintes financières et fait face à la rupture confiance avec les clients. En tant qu'hôtelier, vous n'avez pas besoin d'être un expert en cybersécurité, mais vous devez absolument comprendre les bases pour protéger votre entreprise et vos clients. Voici quelques moyens de lutter contre la cybersécurité dans votre hôtel et de minimiser vos risques autant que possible. 

 

Pourquoi Ho les tels sont des cibles attrayantes pour les pirates informatiques

Les hôtels sont faciles – et rentable – cibles pour les pirates. Les hôtels sont des cibles attrayantes pour deux raisons : premièrement, la cybersécurité dans de nombreux établissements est laxiste. «Seulement 25% environ de toutes les entreprises américaines, y compris les opérateurs hôteliers, sont entièrement conformes aux meilleures pratiques actuelles en matière de sécurité des données. Cela signifie que trois sur quatre ne le sont pas et sont des catastrophes potentielles qui attendent de se produire », explique Russo.

Deuxièmement, les hôtels traitent de nombreuses transactions et stockent des tonnes de données sur les clients. Un pirate peut cibler simultanément le point de vente et le système de gestion immobilière d'une propriété pour capturer des informations de carte de paiement ainsi que des données personnelles, telles que des numéros de passeport et des adresses e-mail. Les logiciels malveillants peuvent se déplacer entre les systèmes POS et PMS dans différentes propriétés sous la même marque, affectant les clients dans des endroits du monde entier sans que personne ne soit au courant. De même, il existe de nombreux points d'accès qu'un pirate peut cibler dans une seule propriété. « En février, il a été signalé que sur les 21 violations de données les plus médiatisées d'entreprises hôtelières survenues depuis 2010, 20 d'entre elles étaient le résultat de logiciels malveillants affectant les systèmes de point de vente dans un restaurant, un bar et un point de vente d'hôtel » ; déclare Mark Voortman, Ph.D., responsable du programme de technologie de l'information à la Rowland School of Business de Pittsburgh.

Un petit hôtel de 100 chambres avec un restaurant de 50 places traite toujours des centaines de paiements uniques chaque jour. Ces paiements uniques sont pratiquement sans défense ; peu d'hôtels ont mis en place les protocoles de sécurité, l'infrastructure et la formation nécessaires pour s'assurer que les parties intéressées sont dissuadées de voler les informations des clients.

 

Qu'est-ce qu'un logiciel malveillant ? Définition des concepts clés de la cybersécurité

Comprendre les concepts clés de la cybersécurité est la moitié de la bataille. Voici quelques termes courants que vous rencontrerez lors de l'amélioration de la sécurité de votre hôtel : 

  • Phishing : phishing se produit lorsque des escrocs vous envoient un e-mail, un SMS ou même vous appellent pour essayer de vous inciter à révéler des informations personnelles informations qu'ils peuvent ensuite utiliser pour accéder à vos coordonnées bancaires ou à vos cartes de crédit. Un e-mail d'hameçonnage peut ressembler à un message de votre banque vous avertissant qu'elle fermera votre compte à moins que vous ne vérifiiez vos informations personnelles.

  • Cryptage : strong> Le cryptage est une procédure de sécurité qui implique le brouillage des données afin que seules les parties autorisé à le lire peut comprendre l'information. Le processus prend des données lisibles et les modifie pour qu'elles apparaissent aléatoires. La partie qui reçoit les informations chiffrées a besoin d'une clé pour déchiffrer les données et les transformer en texte clair lisible.

  • VPN : VPN signifie “réseau privé virtuel.” Un VPN masquera votre adresse IP et gardera votre activité Internet en grande partie introuvable. C'est un excellent outil pour vous assurer que votre connexion Internet est sécurisée et privée. 

  • Malware : malware est un raccourci pour "logiciel malveillant". Les logiciels malveillants sont conçus pour accéder à votre ordinateur ; les logiciels espions, les logiciels de rançon, les virus et les chevaux de Troie sont tous différents types de logiciels malveillants. 

  • Test de pénétration : tests d'intrusion est une procédure dans laquelle un expert en cybersécurité tente d'identifier les points faibles d'un système informatique. L'expert simule un malware ou une attaque de piratage pour trouver les vulnérabilités dont les mauvais acteurs pourraient tirer parti. 

  • APT (Advanced Persistent Threat) : un APT est le pire type d'attaque, dans lequel un mauvais acteur utilise “continue, clandestine et sophistiquée techniques de piratage pour accéder à un système et y rester pendant une période prolongée, avec des conséquences potentiellement destructrices.

  • Antivirus : un programme conçu pour détecter et détruire les virus informatiques sur un système d'exploitation

  • Anti-malware : Similaire au logiciel antivirus mais où l'antivirus se concentre sur les menaces plus anciennes/connues, l'anti-malware se concentre généralement sur les nouvelles menaces inconnues.  La protection contre les programmes malveillants se concentre sur l'identification des menaces inconnues avant qu'elles ne se transforment en virus matures.  La suppression des logiciels malveillants est généralement plus difficile que l'antivirus car il y a plus d'inconnues.

  • Rootkit : un rootkit est un programme informatique clandestin conçu par des cybercriminels pour fournir un accès privilégié continu à un ordinateur tout en cachant activement sa présence.

  • Enregistreur de frappe : Un enregistreur de frappe, parfois appelé enregistreur de frappe ou moniteur système, est un type de technologie de surveillance utilisée pour surveiller et enregistrer chaque frappe tapée sur le clavier d'un ordinateur spécifique. Le logiciel Keylogger est également disponible pour une utilisation sur des appareils mobiles, tels que les appareils iPhone et Android d'Apple.  Les enregistreurs de frappe sont un logiciel légitime qui peut être utilisé à bon escient, mais qui est souvent utilisé comme une arnaque pour voler des informations sensibles telles que les numéros de carte de crédit et les mots de passe.

  • Botnet : un réseau d'ordinateurs infectés privés contenant du code malveillant et contrôlés en tant que groupe à l'insu des propriétaires, par exemple, pour envoyer des messages de spam.

En utilisant un VPN et le cryptage, ainsi que des tests de pénétration réguliers peuvent protéger votre réseau contre les logiciels malveillants et les APT. Vous devez également vous assurer que l'équipe informatique de votre hôtel vérifie régulièrement les ordinateurs de la propriété pour les enregistreurs de frappe et que votre personnel n'ouvre pas de pièces jointes étranges.  Ce sont les protocoles de sécurité minimum que vous devez pratiquer régulièrement pour éviter des catastrophes comme ces piratages très médiatisés dans l'industrie hôtelière.

 

Les attaques de logiciels malveillants de grande envergure dans le Industrie hôtelière

Recherche de Symantec, une entreprise de cybersécurité, a découvert que plus de 65% des hôtels divulguent régulièrement des codes de référence de réservation via des sites tiers. Pourquoi est-ce important? Parce que les informations partagées via ces codes permettraient à un mauvais acteur de se connecter à une réservation, d'afficher des informations personnelles et même d'annuler complètement une réservation. Lorsque cela se produit, les informations de vos clients sont vulnérables et vous risquez de détruire la relation client.

Les recherches de Symantec ont montré que les hôtels de toutes tailles sont en danger. Des piratages majeurs ont eu lieu dans HEI Hotels & Resort, Starwood/Marriott et plus encore. Voici quelques événements de grande envergure :

HEI Hotels & Resorts 

En 2016, une violation de données a touché 20 hôtels américains exploités par HEI Hotels & Stations. L'attaque a exposé les données de carte de paiement de dizaines de milliers de transactions de nourriture et de boissons. Des malwares ont été découverts dans les hôtels’ systèmes de paiement utilisés pour traiter les informations de carte dans les restaurants, bars, spas, boutiques du hall et autres installations sur place. Les experts ont déterminé que les pirates informatiques bloquaient probablement les noms des clients, les numéros de compte, les dates d'expiration des cartes et les codes de vérification.

Starwood/Marriott

En janvier 2019, Starwood/Marriott a découvert qu'une violation de données avait exposé les informations personnelles des clients qui avaient séjourné dans leurs propriétés depuis 2014. Les données des clients ont été volées pour environ 500 millions de personnes – y compris les numéros de passeport cryptés et les numéros de carte de crédit ou de débit. Le New York Times a rapporté que des pirates ont peut-être travaillé avec le ministère chinois du Trésor, car une attaque de cette ampleur est remarquable.

Omni Hôtels & Complexes

Omni a également été attaqué en 2016 dans le cadre d'un malware qui a touché 50 000 clients. Les informations de carte de débit et de crédit de 49 des 60 succursales de la chaîne ont été volées : y compris les numéros de carte de crédit et de débit, les noms des titulaires de carte, les codes de sécurité et les dates d'expiration. 

Hyatt

Dans 41 des hôtels Hyatt, des pirates ont obtenu un accès non autorisé aux informations de carte de paiement lors de la deuxième attaque depuis 2015. Parmi la deuxième attaque, a noté un expert en sécurité, « il est possible que les mesures prises par le groupe Hyatt en décembre 2015 soient toujours déployées dans toute l'organisation, surtout si ces systèmes sont dispersés dans le monde entier et ne sont pas connectés par un réseau commun . Lorsque vous choisissez votre ensemble d'outils de gestion des systèmes, vous devez implémenter la solution qui est sécurisée à l'aide de certificats 2048 bits et d'une authentification à deux facteurs, mais fonctionne également quel que soit l'emplacement des points de terminaison.”

Sabre 

Sabre traite les réservations pour environ 100 000 hôtels et plus de 70 compagnies aériennes dans le monde. L'entreprise étaitciblée en 2017 par de mauvais acteurs qui ont volé des références pour Sabre Hospitality Solutions’ Système central de réservation SynXis. Ces informations d'identification donnaient accès aux données du client, y compris les informations de carte de paiement et les détails de la réservation – clients » noms, adresses e-mail, numéros de téléphone et adresses.

Ces attaques très médiatisées font la une des journaux, mais des centaines d'attaques plus modestes se produisent chaque mois dans les hôtels. Même récemment, un piratage massif, comme celui de Fontainbleu à Miami, a passé inaperçu des médias grand public. Des sources ont rapporté que Fontainbleu avait fait face à une attaque de ransomware sur son système de carte de crédit, forçant l'hôtel à compromettre les données des clients en continuant à accepter les paiements par carte ou à demander aux clients de payer en espèces. Les clients ont attendu jusqu'à cinq heures pour les chambres pendant que la réception essayait d'atténuer la situation – une scène qu'une personne a décrite comme “chaos.” « La file d'attente était sortie par la porte du hall » ; un cadre a déclaré à Variety Magazine. Pour un hôtel cinq étoiles tel que le Fontainebleau, un incident comme celui-ci est absolument destructeur de marque.

 

Comment protéger votre hôtel contre les attaques de logiciels malveillants et l'amp; Cybermenaces

Quel est le meilleur moyen de vous assurer que vos données restent en sécurité et qu'aucun invité ne reste bloqué ? Tout d'abord, soyez très prudent dans le choix d'un système de point de vente et d'un processeur de carte de crédit. «Les accords avec ces entités doivent être vérifiés et, si possible, modifiés pour ajouter une protection et des normes minimales de traitement des données pour le fournisseur externe. La conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) permet non seulement de garantir que les logiciels, le matériel et les pratiques de sécurité des données sont plus sûrs, mais contribue également à protéger contre les amendes et les pénalités en cas de violation », écrit un expert.

Un fournisseur de niveau entreprise , comme Oracle Hospitality, peut sécuriser le lien vulnérable entre votre PMS et votre point de vente. Oracle OPERA est un cloud système de gestion immobilière qui s'intègre au système de point de vente Micros, ainsi qu'à une suite d'autres applications. Oracle propose des protocoles de sécurité sophistiqués, tels que Cloud Security Monitoring Analytics pour surveiller la plate-forme à la fois sur site et dans le cloud. Les outils Oracle incluent également : 

  • Cloud Compliance Control (OMC CC) pour vérifier les configurations par rapport aux exigences de l'entreprise ou aux réglementations externes ; 

  • Cloud Access Security Broker (Oracle CASB) pour découvrir le shadow IT dans le cloud et surveiller les exigences de l'entreprise concernant le utilisation et configuration d'Oracle et de services cloud tiers tels qu'AWS, Salesforce, Azure, Box, etc. ; 

  • Identity Cloud Service (Oracle IDCS) pour fournir une gestion des utilisateurs et système d'authentification pour les services sur site ou cloud.

Ces protocoles de sécurité surveillent ce qui se passe dans votre réseau interne ainsi que toute attaque externe. Travailler avec Oracle vous offre une sécurité multicouche , la protection des données, les transactions sécurisées et le respect des normes de paiement et de confidentialité des données. Mais, comme en témoigne l'attaque au Sabre, parfois même ces mesures ne suffisent pas. Avec les bonnes informations d'identification, n'importe qui peut contourner votre système de sécurité.

La bonne technologie n'est que la moitié de l'équation ; au fil des ans, les experts en sécurité ont également identifié les employés comme faisant partie du problème. Les hôtels doivent former leur personnel à la gestion de la sécurité des informations personnelles, se conformer aux politiques de confidentialité et modifier régulièrement les identifiants d'accès des utilisateurs. Cette industrie a un roulement élevé, ce qui explique en partie pourquoi les employés ne maintiennent pas toujours les normes de sécurité. Votre propriété doit organiser régulièrement des séminaires info-sec pour s'assurer que tous les nouveaux employés sont formés et que les vétérans restent au courant des dernières menaces.

Même avec un excellent système PMS/POS et la bonne formation, il est important d'effectuer des tests de pénétration et des évaluations des risques de routine. Il n'y apas de réponse simple à quelle fréquence vous devriez tester votre réseau, mais les experts avertissent qu'une fois par an n'est probablement pas assez fréquent. Au-delà de la formation de votre personnel, de la mise à jour de votre logiciel de sécurité et de l'investissement dans une plateforme comme Oracle OPERA qui investit dans la cybersécurité, vous pouvez encourager vos invités à utiliser un VPN et à se déconnecter de leur WiFi lorsqu'ils ne l'utilisent pas. 

 

Vous aimerez peut-être aussi
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage Commercialisation Annonces hôtelières ChatGPT : elles sont là et les agences de voyages en ligne bénéficient déjà d’un avantage concurrentiel.

il y a 1 mois

The Best Hotel Tech Apps of 2026 Expérience client Les meilleures applications technologiques pour hôtels de 2026

il y a 4 mois

The 10 Best Places to Work in Hotel Tech 2026 Opérations Les 10 meilleurs endroits où travailler dans le secteur des technologies hôtelières en 2026

il y a 4 mois

HITEC Indianapolis 2025 Innovation Report Expérience client Rapport d'innovation HITEC Indianapolis 2025

il y a 11 mois

Obtenez des recommandations de produits personnalisées

Conseiller en recommandations de produits

Ghostel icon

Cherchons les informations sur votre hôtel