Vous êtes ici : Accueil > > Articles & brèves > > Technologie > Cyber-attaques dans les hôtels : 3 grandes associations (...)
samedi 22 septembre 2018

Cyber-attaques dans les hôtels : 3 grandes associations hôtelières américaines (HTNG, HFTP et AH&LA) émettent des recommandations

 
 

Trois grandes associations de l’industrie hôtelière américaine, the American Hotel & Lodging Association (AH&LA), Hotel Technology Next Generation (HTNG) et Hospitality Financial and Technology Professionals (HFTP) viennent de réaliser à destination des hôteliers un état des lieux des crimes de cyber attaques sur les données de cartes de crédit. Le rapport identifie les actions que les hôtels – et non leurs fournisseurs de systèmes – doivent mettre en place immédiatement pour minimiser leur vulnérabilité et pour éliminer la possibilité de perte de centaine de milliers de dollars résultant de l’attaque du système d’un hôtel.

Les trois associations sont dédiées à des fonctions différentes de l’industrie hôtelière, mais elles ont choisi de lier leurs efforts pour « répondre à la force de la menace », selon Joe McInemey, Président de AH&LA. « Nous ne voulons pas que le message soit dilué en le faisant passer par différentes méthodes, nous sommes tous d’accord sur les étapes clefs que les hôtels doivent entreprendre » selon Franck I. Wolde, PDG de HFTP. « La fraude à la carte de crédit est une problématique essentielle pour les responsables informatiques des hôtels, mais ils ne peuvent pas la résoudre pleinement sans l’appui de leur directeur général » selon Douglas Rice, PDG de HTNG.

Cette alerte n’a pas vocation à aller à l’encontre des normes de sécurités dictées par Payment Card Industry Data Security Standards (PCI-DSS), mais au contraire d’apporter des solutions simples et complémentaires à ces normes restrictives et technologiquement complexes. Les cybercriminels attaquent systématiquement les systèmes contenant des données de cartes de crédit, et cela inclut les points de vente (POS) et les Property Management System (PMS). Les attaques contre les hôtels sont hautement ciblées et efficaces.

La plupart du temps, l’hôtel, et non pas le fournisseur de systèmes, est responsable de prévenir les risques d’introduction dans le système par une personne non autorisée. C’est la faille la plus souvent exploitée par les criminels. Même lorsqu’un groupe d’hôtels fournit la sécurité du réseau pour un hôtel, le système local doit également rester sous contrôle. Une fois que le cybercriminel a franchi la barrière d’un réseau local, il a infiniment moins de difficulté à infiltrer le réseau informatique de la chaîne, de part le statut à priori « ami » de la machine infectée.

Le rapport invite les directeurs généraux à comprendre qu’il existe 3 actions spécifiques qu’ils doivent entreprendre pour réduire leur vulnérabilité au vol de carte de crédit. Ces actions doivent être complémentaires avec un système de standards de sécurité des données pour les industries des cartes de paiement - Payment Card Industry Data Security Standards (PCI-DSS), essentiel pour assurer la sécurité d’un réseau. Mais selon un rapport de Verizon Business et des services secrets américains, si elles sont appliquées, 96% des risques sont éliminés :
- Eliminer tous les mots de passe par défaut sur toutes les machines du réseau. Les machines les plus importantes à vérifier sont celles qui semblent inoffensives, comme le PC du bureau d’un ingénieur qui gère la construction du bâtiment, ou le PC du gardien du parking… Ceci implique d’établir une carte recensant chaque poste informatique avec pour chacun d’entre eux une liste des applications ou tâches critiques auxquels ils permettent d’accéder.
- Eliminer les failles des accès distants aux systèmes du réseau. L’accès distant des fournisseurs est une partie essentielle qui gère les systèmes des hôtels. Les voleurs de données en sont conscients, et savent comment utiliser cette faille pour s’introduire dans le système. Ils connaissent également tous les mots de passe par défaut, et ils ont appris à voler les listes de clients, complétées grâce aux mots de passe des fournisseurs. Pour limiter cette faille, il faut mettre en place avec chaque fournisseur une procédure d’identification systématique, par laquelle l’hôtel autorise l’entrée dans le système. Il faut également changer le mot de passe fournisseur à chaque fois que le fournisseur change. Certains hôteliers mettent en place des mots de passe à usage unique à destination des tiers-fournisseurs. La permission est donc donnée manuellement au cas par cas. Ces mots de passe ne doivent être divulgués qu’à des personnels clé d’une part et doivent être rangés en lieu sûr d’autre part, accompagnés de la procédure qui permet de les modifier.
- Si vous stockez des tonnes d’argent à la vue de tous dans une cage d’escalier, vous avez de très fortes chances d’être volés. Opérer sans pare-feu internet est tout aussi risqué. Et pourtant, encore aujourd’hui, de nombreux hôtels travaillent sans pare-feu, surtout de petits indépendants. Une étude récente de l’université du Maryland a comptabilisé plus de 2200 attaques toutes les 39 secondes sur un ordinateur sans pare feu connecté chaque jour en moyenne. Si votre hôtel n’a pas de pare feu, vous ferez surement parti de ceux attaqués. Investir dans un pare-feu, ce qui n’est pas forcément coûteux, est une étape essentielle de sécurisation d’un réseau.

Ce rapport ne suggère nullement aux hôteliers de ne pas adhérer au système PCI-DSS, qui reste le meilleur moyen d’éliminer les risques d’attaque. Mais ces standards sont complexes et souvent mal compris, et il faut du temps et de l’argent pour les mettre en application. Les hôtels n’ayant pas encore adhéré au système PCI peuvent utiliser l’information du rapport pour réaliser leurs premières actions. Ceux qui pensent ne pas avoir besoin du PCI parce que leurs fournisseurs leurs offrent le système PCI doivent savoir que ça n’est pas possible, et que les actions clefs doivent être mises en place. Même si l’adoption des standards PCI-DSS semble très complexe, elle est très importante pour assurer la sécurité des hôtels. En attendant, ces trois actions présentées dans le rapport peuvent être entreprises rapidement, sans frais, et efficacement.

 
 
 
Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/1247 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/1247.qr. Voir le mode d'emploi.
 
 

 
 
 
 
 

Un avis, un commentaire ?


À savoir avant de poster votre avis...

Modération à priori. Ne sont notamment pas publiés :
- Les messages à caractère publicitaire
- Les messages postés avec une fausse adresse email
- Les messages comportant des liens sortants promotionnels et/ou non pertinents avec l'article.
- ...
Lire les CGU

Qui êtes-vous ?
Votre message

Message limité à 5000 caractères.

 
 
Si vous pensez que TendanceHotellerie.fr a toute sa place dans le paysage de l’hôtellerie francophone, n’hésitez pas nous soutenir. C’est simple et (...) En savoir plus »
Nous avons la volonté de faire correspondre ce webzine à vos attentes. Nous sommes très intéressés de recevoir vos avis et suggestions pour (...) En savoir plus »
Vous voulez annoncer sur TendanceHotellerie ? Nous proposons aux fournisseurs de services, solutions et produits à destination de l’hôtellerie de communiquer avec les lecteurs de (...) En savoir plus »