Quelques exemples récents de cyberattaques sur des hôtels.
L'industrie mondiale de l'hôtellerie pèse environ 500 milliards de dollars, emploie des millions de personnes dans le monde entier et contribue de manière significative à l'économie mondiale. Cette industrie, très connectée, offre de nombreux points d’entrée qui sont ciblés par les cyber-criminels. Le cabinet PwC rapporte que l’Hôtellerie est la deuxième industrie la plus touchée par les cyberattaques. CYBER COVER vous livre son analyse sur ce marché.
Parmi les cyberattaques les plus connues dans le monde de l’Hôtellerie citons la faille de données personnelles du groupe MARRIOTT qui a duré près de 4 ans et concerne 383 Millions de comptes clients piratés pendant cette période.
Suite à une analyse forensic menée par le groupe hôtelier, il s’avère que le réseau Starwood avait été compromis en 2014 - à l'époque où Starwood était une société distincte, n’appartenant pas encore au groupe hôtelier MARRIOTT. Malheureusement plus de 2 années après avoir été acquis par le groupe, ce système de réservation était encore utilisé par les hôtels, alors qu’il était largement compromis.
Dans son étude sur les perspectives hôtelières 2018-2022, PwC rapporte que l’industrie hôtelière est la deuxième plus touchée par les cyberattaques. Entre 2013 et 2018, 21 attaques majeures réalisées à l’encontre d’hôtels ont été recensées par le cabinet Intsights.
Aux Etats-Unis par exemple, le système de paiement d'une chaîne d'hôtels très connue a été compromis et les données des cartes de crédit des clients ont été volées. Grâce au piratage du système de paiement de l'hôtel, les attaquants ont collecté des données non cryptées de cartes bancaires. La violation du système d’information a fait l'objet d'une campagne médiatique négative considérable et la chaîne hôtelière a subi une perte financière importante.
Un hôtel de luxe basé en Europe a payé une forte rançon en Bitcoins après avoir subi une attaque par rançongiciel. Lors de l'attaque du système de réservation de l'hôtel, ils n'ont pas été en mesure de délivrer de nouvelles cartes-clés aux clients permettant d’accéder aux chambres, ce qui a causé une interruption considérable des activités et une atteinte à la réputation de l’hôtel.
En France plus récemment, selon le site ZATAZ , une dizaine d’Hôtel Holiday INN Express ont été ciblés par une cyber attaque le 28 décembre 2019, avec plus de 7000 GB impactés selon les pirates et un nombre important de données volées (informations salariales, financières, données clients…).
Que recherchent les cybercriminels en attaquant les systèmes d’information des groupements hôteliers ?
Données personnelles lucratives
Passeport, coordonnées bancaires, programme de fidélité contenant des données personnelles, collecte accrue de données afin d’offrir davantage de personnalisation lors du séjour et un volume important de voyageurs qui séjournent dans des groupes hôteliers sont autant d’éléments qui expliquent pourquoi les cyber criminels se concentrent de plus en plus sur le secteur de l’hôtellerie.
La dimension internationale de ces acteurs accroît le terrain de jeu des pirates mais aussi leur capacité à revendre des informations dans diverses régions du monde sur le darknet. Enfin, accéder aux comptes de fidélité des voyageurs motive également de nombreux pirates. Les voyageurs étant moins attentifs à ces comptes qu’à leur compte bancaire, les pirates disposent d’une plus grande marge de manœuvre pour revendre les données ensuite sur le darkweb. Etant donné que les internautes sont nombreux à réutiliser les mêmes informations d’identification, ils pourront également dupliquer les brèches sur d’autres sites.
Une forte exposition des hôtels aux cyber risques
La quantité importante d’équipements digitaux déployés par les hôteliers constitue un terrain de jeu attractif pour les pirates. Au-delà des serveurs et des ordinateurs, les systèmes d’alarme, de Wi-Fi et plus largement l’ensemble des dispositifs IoT sont des portes d’entrée potentielles pour les hackers. Une brèche détectée par ces derniers peut s’avérer catastrophique pour l’intégralité d’un groupe hôtelier.
Vente en ligne, Wi-Fi à disposition des clients, plateformes de réservation en temps réel, serrures connectées, les cartes-clés numériques n'en sont que quelques exemples.
Il n'est donc pas surprenant que la mise en œuvre de ces nouvelles technologies aille de pair avec une intensification des cyber risques.
Parmi les causes de ces failles, citons notamment les risques liés au Wi-Fi public non sécurisé, aux données clients non chiffrées, à la faible sécurité des systèmes de traitement des paiements et de réservation des tiers, aux conséquence d’une perte ou d’un vol d'ordinateurs portables et enfin au manque de sensibilisation des employés à la sécurité informatique.
En raison de la dépendance à l'égard des systèmes de réservation, les hôtels sont encore plus exposés aux risques d'interruption de l'activité résultant d'une défaillance complète de leur système information / système de réservation.
Chaque hôtel régional étant directement relié au réseau national voire international de la marque, un pirate n’a qu’à s’introduire sur le réseau d’un seul établissement pour accéder à l’intégralité du réseau. Pour la direction des systèmes informatiques (DSI), cette configuration rend très difficile l’application d’une norme de sécurité standardisée. Cette situation a mené en 2008 et en 2010, à une intrusion dans la réserve centrale d’un groupe hôtelier après que les hackers soient parvenus à pirater l’un des hôtels franchisés. Résultats : environ 600 000 relevés de carte bancaires dérobés.
Quelles sont les cyber attaques les plus courantes ?
Cyber attaques via les systèmes de réservation
Les attaques ciblant les systèmes de réservation sont évidemment les plus fréquentes, car elles offrent aux pirates un accès direct aux données bancaires. Bien que les cartes de crédits aient considérablement accru leur niveau de sécurité, la majorité des systèmes de réservation ont peu évolué et reste très vulnérable.
Cyberattaque via Phishing
Intsights rapporte que les emails d’hameçonnage couplés à un appel téléphonique sont aussi des techniques couramment par les pirates. Ces derniers appellent l’hôtel en se faisant passer pour un client qui ne parvient pas à effectuer une réservation sur le site et demandent s’ils peuvent envoyer les informations à l’employé par mail. Dans ce mail, le pirate intègre un fichier malveillant qui va lui permettre de prendre le contrôle du réseau de l’hôtelier.
Intrusion via WiFi
Viennent ensuite les intrusions effectuées au travers du réseau Wi-Fi qui donnent accès aux pirates à l’ensemble des appareils connectés. Bien qu’elles ne ciblent pas directement le système de l’hôtel, les attaques menées à l’encontre des clients ont un impact sur l’image de marque de l’hôtelier.
Attaques par DDOS
L’hôtellerie souffre principalement des attaques DDoS qui sont réalisés par des robots. La technique consiste à inonder un système en générant une importante quantité de connexions via des robots pour faire planter un serveur. La plupart du temps, ce type d’attaque sert de subterfuge pour masquer une autre intrusion.
Attaques sur les dispositifs IOT
Les cyber pirates ont de plus en plus recours aux attaques sur les dispositifs IoT, dont les mesures de sécurité sont rarement adaptées. Selon une étude IBM, 80% des entreprises ne testent pas régulièrement le niveau de sécurité de leur dispositifs IoT.
La cyber-assurance : comment transférer le risque financier ?
La cyber-assurance aide à atténuer le risque financier et à fournir une assistance afin de faire face à la crise. Comment avoir la certitude que les équipes informatiques d’un groupe hôtelier soient en mesure de répondre de manière rapide et efficace à une violation de votre système d’information ? En s’appuyant sur une assurance cyber intégrant un service efficace d’assistance cyber, c’est la certitude de redémarrer rapidement.
L’impact financier majeur d’une cyber attaque pour un groupement d’hôtel se trouve dans les pertes d’exploitation, risque couvert par la cyber assurance.
En cas de vol de données personnelles, l’hôtel devra faire face à de nombreuses mises en cause par des clients soucieux de voir des informations confidentielles à la merci de cyber criminels. L’assurance cyber couvrira à nouveau les frais de défense et les conséquences pécuniaires d’une mise en cause de l’hôtel par des tiers, risque habituellement exclu des contrats d’assurance RC classiques.
Les garanties offertes par un contrat de cyber assurance ne se limitent pas à cette seule énumération. Des spécialistes de l'assurance comme CYBER COVER vous accompagneront dans la compréhension des risques numériques, vous aideront à réduire votre exposition et vous aideront dans la construction de votre contrat d’assurance cyber sur mesure.
Conclusion
Les groupes hôteliers quels que soient leur taille continueront vraisemblablement à continuer à intéresser des cyber criminels de toute taille.
La nature et le volume des données personnelles et financières qu'elles contiennent constitue une motivation.
Dans plus de 50 % des cas, ces intrusions sont la conséquence d’un acte – intentionnel ou non – d’une personne au sein de l’organisation. Ainsi, la formation continue du personnel est la principale mesure de protection à mettre en œuvre dans tous les établissements.
Une attention particulière à toute activité anormale doit être portée, afin d’être proactif dans la détection d’attaques. Ainsi, selon une étude IBM, il faut en moyenne 195 jours à un hôtel pour détecter une intrusion sur son réseau. Pour l’hôtelier, le coût d’une intrusion qui dure plus de 100 jours est 35,3% supérieur à une attaque qui aurait été détectée en moins de 100 jours !
Etant donné que la majorité des attaques passe par les prestataires de distribution, il est fortement conseillé aux hôteliers de s’assurer que leurs fournisseurs disposent de normes de sécurité conformes aux leurs.
Enfin, réfléchir à un plan d’intervention en cas d’incident pour limiter l’impact d’une attaque potentielle, ce qui est malheureusement rarement prévu dans les hôtels de taille moyenne.
Source : « Cyber Threat Report : Gaming, Leisure & Hospitality Industry« , Intsights
