Le détournement des coordonnées de carte de crédit, notamment dans le tourisme, a poussé les entités Visa, Mastercard et American Express à mettre en place des standards de sécurité qui s’imposent petit à petit à tous les professionnels, ajoutant souvent une couche de coût…

L’actualité fait état d’une rançon exigée par des hackers auprès d’un resort hôtel de luxe autrichien :

« 1 500 € en Bitcoin et les clients pourront sortir de/entrer dans leur chambre ».

En effet le hacker avait trouvé une brèche de sécurité, s’y était engouffré et avait bloqué toutes les serrures de chambre avec des clients parfois enfermés.

Vu la modicité de la somme et le fait que l’hôtel était plein, le directeur d’hôtel a préféré payer vite. Le hacker avait laissé la porte de son méfait ouverte mais lorsque qu’il voulut réitérer l’opération, se trouva devant une porte close… Une société de sécurité était passée par là et avait rendu étanches les ports ouverts (pour faire très simple, en informatique, le port d’une machine est une porte ouverte à chaque interlocuteur de cette machine. Certains services utilisent toujours le même numéro de port). Comme pour n’importe quelle porte, la présence d’une serrure est souvent recommandée. En tous les cas, l’absence de serrure sur des services essentiels est une erreur bien trop fréquente.

Que faire alors ?

Les hackers sont de plus en plus malins, néanmoins les règles de base restent les mêmes : un firewall, des « serrures sur toutes les portes », élimination des mots de passe par défaut (un peu comme le « 0000 » quand on reçoit une nouvelle carte SIM)…

Au delà de ces règles de base qui s’appliquent partout, il est important de responsabiliser ses fournisseurs de technologie, notamment ceux qui interviennent à distance sur le réseau interne de l’hôtel : bien évidemment avec une ou plusieurs clauses dans le contrat, mais également dans la procédure utilisée par les techniciens.

Pour les plus peureux ou ceux qui n’arrivent pas à obtenir de réponse fiable de leurs prestataires, faire réaliser un audit de sécurité par une entreprise spécialisée est simple. En cas de faille due à un prestataire, le mettre en demeure de mettre des procédures en place sera une évidence et la négociation pourra bien évidemment inclure le coût de l’audit.

Soyez certain qu’en cas de défaillance, aucune assurance ne couvrira les dégâts si l’hôtel n’a jamais rien fait. Aussi, un audit régulier permet de montrer la bonne fois de l’entreprise…

Conclusion

Comme le rappelait récemment le fondateur d’OVH, Octave Klaba

« Les attaques DDoS, c’est une guerre qui n’a pas de fin ».

L’attaque de l’hôtel n’est pas une attaque par DDoS, néanmoins elle relève de la même volonté malfaisante et il n’y a jamais de gagnant à vie : un hacker va passer à travers les mailles du filet de temps en temps, mais pas tout le temps. Le meilleur moyen est donc de surveiller ce qui se passe et de gérer le risque comme tous les autres risques : procédure en cas de problème, assurance, vérification des extincteurs, vérification régulière de l’alarme, formation du personnel, etc… Apio systems saura vous aider à mettre en place votre politique de sécurité et pourra vous accompagner dans l’audit de l’existant. Contactez-nous pour discuter de votre projet.

Source de l’article : TendanceHotellerie.fr.

La sécurité informatique dans l’hôtellerie