Hôtellerie-restauration : un secteur particulièrement visé par les cyberattaques

Les actions de cybercriminalité menacent particulièrement les établissements d’hôtellerie-restauration. Selon l’ANSSI, ce serait notamment le secteur le plus concerné par les ransomwares, à égalité avec le commerce. La raison ? Des données particulièrement attrayantes pour les cybercriminels et des systèmes informatiques faciles à pirater. Comprendre et se protéger du risque cyber s’avère donc essentiel pour tout professionnel de l’hôtellerie. 

Cyberattaque dans l’hôtellerie-restauration : des portes d’entrée multiples

Pour obtenir de l’argent, le cybercriminel doit commencer par s’introduire dans le système informatique de l’entreprise. Et malheureusement, les portes d’entrée sont multiples quand il s’agit de l’hôtellerie : logiciel de réservation, logiciel de paie, alarmes, objets connectés, etc. Sans oublier les liens entre l’informatique d’un hôtel franchisé et son réseau national : si une seule structure est piratée, toute la chaîne peut en souffrir.

Phishing, wifi et Ethernet mal sécurisés : les techniques d’intrusion

Pour accéder au système informatique d’un hôtel ou d’un restaurant, le cyberattaquant dispose de plusieurs options, dont voici les plus couramment utilisées pour ce secteur :

• L’attaquant utilise la méthode du phishing par mail : concrètement, l’attaquant appelle l’hôtel en se faisant passer pour un client qui ne parvient pas à effectuer une réservation sur le site. Il demande à l’employé de l’hôtel s’il peut envoyer ses informations par mail. Ce mail contient un fichier malveillant qui va permettre de prendre le contrôle du réseau informatique une fois téléchargé par l’employé de l’hôtel.
• L’attaquant utilise le wifi partagé de l’hôtel, ou une prise ethernet : souvent ces points d’accès sont mal configurés et peu sécurisés. Le cybercriminel peut aussi créer un faux point de connexion wifi au nom de l’hôtel et récupérer ainsi les données des clients.

Virus, vol de données, demande de rançon : les conséquences d’une cyberattaque hôtelière 

Le piratage informatique d’une structure hôtelière engendre différents types de problèmes. Tous peuvent se montrer catastrophiques pour l’hôtel ou le restaurant concerné.

1/ L’attaquant bloque le système de réservation et demande une rançon :

La cyberattaque paralyse le logiciel de paie et de réservation. L’attaquant demande alors une rançon pour débloquer le système. Une variante est le piratage des serrures connectées. Un hôtel de luxe autrichien en a notamment fait les frais en 2017 : il a dû payer la rançon demandée pour pouvoir débloquer les portes de ses chambres.

2/ Le cybercriminel vole les données des clients et les fait fuiter :

Coordonnées, scan des papiers d’identité, moyens de paiement, programmes de fidélité : toutes ces données peuvent se revendre à bon prix sur le darkweb. L’exemple le plus célèbre est celui des hôtels Mariott, piratés en 2018 puis à nouveau en 2020 : les dossiers de 350 millions de clients ont été dérobés ! Dans le cas de la cyberattaque du Ritz de Londres, en août 2020, les pirates ont agi un peu différemment : ils ont utilisé les renseignements volés pour appeler les clients au nom de l’hôtel, et leur soutirer leurs données de cartes bancaires.

Autre exemple, une dizaine d’hôtels de la chaîne Holiday Inn ont été piratés en décembre 2019. Les cybercriminels ont volé les données des clients mais aussi des informations financières, salariales et de facturation.

Même si moins médiatisées, les TPE x PME aussi sont touchées  : par exemple le restaurant familial "L’Écu de France" situé dans le Loiret s'est fait pirater ses logiciels le 2 mai 2022. Toutes les données étaient chiffrées, les équipes ont été obligées de tout refaire à la main en attendant la remise en état du système. 

3/ L’attaquant profite du piratage pour infecter le système informatique des prestataires de l’hôtel.

On parle alors de "transmission de virus" : l'attaquant utilise les connexions et partages existants entre l'hôtel et ses prestataires pour aller infester ces derniers.

Comment se prémunir des actes de cyber-malveillance dans l’hôtellerie-restauration ?

La protection doit passer par deux volets : la prévention et la mise en place de réactions appropriées en cas de cyberattaque.

Adopter les règles de cybersécurité de base

Selon le RGPD (Règlement Général de la Protection des Données), l’entreprise est responsable de la sécurité des données de ses clients. Il est donc essentiel d’appliquer des mesures de sécurité rigoureuses pour les protéger. Certaines sont simples à mettre en place :

• Effectuer les mises à jour des logiciels utilisés.
• Utiliser un antivirus sur les postes windows.
• Fermer sa session lorsqu’on quitte son poste, même pour un court moment.
• Activer le verrouillage automatique après 1 minute d’inactivité.
• Éviter l’utilisation des périphériques externes. Beaucoup de clés USB peuvent transmettre des logiciels espions capables de récupérer ou crypter les données.
• Sensibiliser les employés à ces mesures de sécurité et au risque de phishing. 

Transférer son risque résiduel à une assurance cyber

Sécuriser son système informatique et sensibiliser les collaborateurs aux techniques d’attaques dont le phishing permettent de réduire drastiquement le risque de cyberattaque. Cependant, le risque zéro n’existe pas : une erreur humaine est vite arrivée après une longue journée de travail, une mise à jour peut ne pas avoir été réalisée, une faille technique encore inconnue jusqu’ici peut être utilisée par un attaquant avant-gardiste….

Autant de raisons qui mènent à souscrire une assurance cyber : en cas d’attaque, c’est elle qu’il faut appeler, pour déclarer son sinistre et recevoir les bons conseils pour isoler l’attaquant le plus rapidement possible. 

Une fois l’attaque identifiée, les experts cyber mis à disposition par l’assurance vont tout mettre en œuvre pour restaurer le système informatique.

L’assurance cyber de Stoïk prend en charge les frais résultant d’une cyberattaque (les montants de garanties sont indiqués sur le contrat) :

• dans le cas présent, l’assurance va rembourser les frais de perte d’exploitation en calculant la marge brute du CA qui aurait dû être réalisé sur la période d’arrêt de l’activité.
• elle va aussi prendre en charge les frais supplémentaires d’exploitation : tous les frais supplémentaires qui ont été engagés pour permettre à l’entreprise de se maintenir pendant la durée de l’attaque.
• en cas de transmission de virus à un tiers (si un prestataire se fait attaquer via le système informatique de l’entreprise), l’assurance va couvrir la responsabilité civile du dirigeant et l’accompagner dans toutes les démarches juridiques.

D'autres exemples d'attaques :

• Déroulement d'une cyberattaque dans le secteur distribution e-commerce
• Déroulement d'une cyberattaque en ESN (ex-SSII)
• Déroulement d'une cyberattaque dans l'enseignement
• Déroulement d'une cyberattaque dans le secteur du médical
• Déroulement d'une cyberattaque dans les start-up SaaS
• Déroulement d'une cyberattaque dans le secteur de la production et du manufacturing
• Déroulement d'une cyberattaque dans les entreprises de conseil et d'audit

Sources :

• ‍https://www.asterio.com/exploiter/comment-se-proteger-contre-le-piratage-des-donnees-pour-les-etablissements-et-groupes-hoteliers/‍
• https://www.dropcloud.fr/lanssi-plus-que-jamais-en-alerte-sur-les-risques-cyber/‍
• https://www.tom.travel/2019/03/25/etude-intsights-hotellerie-lutte-cyberattaque/‍
• https://www.zataz.com/prises-dotages-numeriques-pour-des-hotels-francais/
• https://www.larep.fr/malesherbois-45330/actualites/a-malesherbes-l-hotel-restaurant-l-ecu-de-france-touche-par-une-cyberattaque_14124989/‍
• https://www.cnetfrance.fr/news/hotels-marriott-une-nouvelle-fuite-de-donnees-touche-52-millions-de-clients-39901579.htm‍
• ‍https://www.lhotellerie-restauration.fr/journal/restauration/2020-08/le-ritz-london-victime-d-un-piratage-de-son-systeme-de-reservation-fb.htm‍
• ‍https://hitek.fr/actualite/hotel-luxe-hack-autriche-romantik-seehotel-jaegerwirt_11915