Etablissements hôteliers : comment se protéger contre le piratage des données ?

Votre hôtel ou groupe hôtelier utilise un PMS, en d’autres termes un système de gestion pour votre établissement, qui vous permet de centraliser vos activités grâce à un outil unique.
Ce logiciel regroupe les réservations, le planning, la tarification, la gestion comptable et plus encore. Dès lors que toutes ces informations se retrouvent au même endroit, il est normal qu’en tant qu’hôtelier vous redoutiez un éventuel piratage ou une déficience de sécurisation. Retrouvez les réponses à toutes vos interrogations :

Quelle est la première action à mettre en place pour sécuriser ses données hôtelières ?

• La première stratégie à adopter réside dans le choix de votre mot de passe couplé à l’identifiant de l’utilisateur. Il est préconisé d’utiliser un mot de passe complexe contenant différents caractères – au moins 10 dont des chiffres, des minuscules, des majuscules, et caractères spéciaux – et d’utiliser une authentification en 2 temps lorsque c’est possible (mot de passe + SMS ou mot de passe + mail…). Certains PMS hôtelier comme Asterio peuvent permettre de paramétrer le niveau de complexité du mot de passe afin d’assurer le maximum de sécurité.

Comment être sûr que sa base de données est bien protégée lorsque l’on utilise une solution hôtelière en Cloud ?

• Un système de gestion hôtelière moderne vous permettra de protéger ces informations via un encryptage performant c’est-à-dire des connexions aux interfaces (utilisateurs), des stockages et déploiement de solutions de détection, de prévention d’intrusion et de pare-feu réseau et applicatifs. Dans ce cas, aucune raison que les données personnelles qui concernent votre hôtel ainsi que vos clients ne soient copiées par un tiers. Cette problématique est tellement importante, que c’est un des critères de choix concernant le PMS hôtelier : il convient avant tout de vérifier que la solution choisie a tout prévu et sauvegarde automatiquement l’intégralité des données et informations sur des serveurs sécurisés de haute performance qui fonctionnent en Cloud. Exigez toutes ces garanties et faites-les vous clairement expliquer et prouver. C’est à ces conditions que vous serez pleinement protégés.

Comment éviter la perte des données ?

• Une solution de gestion hôtelière moderne en Cloud doit prévoir des serveurs de back-ups permettant une continuité d’activité en cas de soucis et assurer une sauvegarde régulière afin qu’aucune donnée ne soit perdue, supprimée ou détériorée. Pour tout autre document non géré par la solution de gestion (documents concernant votre stratégie commerciale par exemple), anticipez en multipliant les systèmes de sauvegarde : disque dur externe, serveur de sauvegarde, Cloud privé. Vous pouvez créer une copie automatique de vos données dans le Cloud pour ne jamais omettre des sauvegardes régulières. Automatiser des actions comme la copie de données vous épargne un temps précieux.

Comment encadrer l’accès aux données en interne par les équipes hôtelières ?

• La gestion des droits d’accès aux logiciels hôteliers est faite pour cela : chaque utilisateur doit avoir un compte nominatif. Il convient de mettre en place des profils utilisateurs de façon à ce que chaque membre de l’équipe n’ait accès qu’aux seules applications et données nécessaires à l’accomplissement de sa mission. Un profil utilisateur (à ne pas confondre avec un utilisateur, un profil utilisateur est également appelé rôle) est un ensemble de droits d’accès, profil admin ou profil commercial par exemple. Limiter certains droits, comme celui concernant la possibilité de supprimer des données, est également recommandé. Quelques bonnes pratiques ? Penser systématiquement à supprimer les permissions d’accès des saisonniers à la fin de leur contrat, réaliser une revue annuelle des habilitations et BI, ne pas créer ou utiliser des comptes partagés par plusieurs personnes de l’hôtel, ne pas accorder des droits d’administrateurs à des utilisateurs n’en ayant pas besoin, établir une politique de contrôle d’accès avec les procédures à appliquer systématiquement à l’arrivée ainsi qu’au départ ou au changement d’affectation d’un collaborateur. C’est la raison pour laquelle une solution hôtelière et restaurant de type PMS doit permettre de paramétrer finement et facilement les droits d’accès de vos collaborateurs.

Comment protéger les données de paiement et des cartes bancaires des clients qui réservent à l’hôtel ?

• Votre groupe hôtelier doit évidemment prendre les mesures adaptées pour protéger toutes les données des titulaires de cartes contre le vol sur internet et contre les éventuelles utilisations frauduleuses au sein de chaque hôtel. Les conséquences d’une cyber-attaque peuvent se traduire par une perte de revenus, de clients et d’image de marque hôtelière. Il convient dès lors de s’assurer que votre logiciel hôtelier respecte les bonnes pratiques de sécurité. Les pages de paiement dans lesquels une carte de paiement est renseignée doit respecter les contraintes de la norme PCI DSS (Payment Card Industry Data Security Standard), soit par redirection vers un opérateur de paiement (PSP) certifié PCI-DSS, soit par une solution certifiée PCI-DSS (ex : coffre-fort pour Asterio). En étant assuré d’utiliser un PMS ou un logiciel hôtelier certifié PCI DSS, les clients des hôtels bénéficient d’une meilleure protection des données concernant leur carte et compte lors des réservations en ligne et ont l’assurance que toutes leurs données de réservation sont stockées en toute sécurité. Et c’est de plus en plus valable dans les restaurants où pour limiter le no show, certains établissements exigent les données de carte bancaire à la réservation. A ce sujet, les données de cartes bancaires ne doivent jamais être communiquées par téléphone ou messagerie. Pour aller plus loin, lire notre article sur la sécurisation des paiements à distance dans l’hôtellerie.

Comment sécuriser les données pendant une absence ou un déplacement hors de l’hôtel ?

• Pensez à sécuriser tous vos supports ayant accès aux données en fermant votre session avant de vous absenter même un très court laps de temps. La configuration automatique de verrouillage après 1 minute d’inactivité peut être mise en place sur les postes de travail ou tablettes. Si vous vous déplacez avec votre tablette ou ordinateur contenant vos données, agissez de la même façon et déconnectez-vous de votre session. En cas de vol, il sera alors bien plus compliqué d’avoir accès à vos informations. Au sein de vos hôtels, sensibilisez vos employés à la sécurisation des données, et demandez-leur de bloquer l’accès aux ordinateurs, tablettes ou smartphones dédiés à votre activité quand ils s’en éloignent.

Quelles sont les bonnes pratiques de sécurité informatique à mettre en place dans l’établissement hôtelier ?

• En règle générale, faites attention aux téléchargements que vous effectuez sur votre outil informatique. Vérifiez les sources avant d’installer quoi que ce soit et restreignez l’accès à certains sites malveillants. Mettez également en place un firewall dont le rôle est de surveiller et contrôler les applications et les flux de données. Pensez aussi à la protection des accès physiques concernant votre hôtel : notez les entrées et sorties dans votre établissement ; et installez des systèmes anti-vols sur le matériel informatique.

Est-il nécessaire d’avoir un logiciel anti-virus installé sur les ordinateurs de l’hôtel ?

• Sécuriser vos ordinateurs est fortement recommandé. Posséder une solution anti-virus, anti-spyware et antimalware, qui se met à jour très régulièrement, vous permettra de disposer des pare feux suffisants et de sécuriser vos réseaux afin de pouvoir contrer une éventuelle intrusion.

Peut-on faire confiance à des périphériques externes ?

• La réponse est non, car de très nombreux logiciels circulent sur le marché, prêts à hacker votre ordinateur en toute discrétion au moyen d’une simple clé USB. Une fois introduit dans les ordinateurs de votre hôtel, un logiciel espion exécuté depuis cette clé peut récupérer toute vos données ou les encrypter, demandant ainsi une rançon afin de les décrypter (ransomware)… Restez donc très vigilants quant aux périphériques ne vous appartenant pas.

Les mises à jour sont-elles essentielles pour une sécurisation optimale des données hôtelières ?

• Effectuer régulièrement les mises à jour des logiciels cloud est impératif car celles-ci contiennent les dernières sécurités du marché, adaptées aux nouveaux virus informatiques développés chaque jour. Les mises à jour sont fréquemment repoussées par les utilisateurs, en cause le temps de leur installation. Mais si cela peut prendre plusieurs minutes, il vaut mieux prévenir que guérir en s’évitant un piratage ou un hack !
  Installer les mises à jour les plus récentes sur vos équipements vous assure de bénéficier des dernières avancées de la sécurité de l’informatique.

Quelles sont les obligations des groupes hôteliers en matière de détention de données ?

• La CNIL, chargée du respect de la RGPD en France (Règlement Général de la Protection des Données), est très stricte quant à certains points concernant les données à caractère personnel détenues par un établissement hôtelier :
  • Les données stockées en interne doivent être protégées
  • Les données de vos clients qui sont stockées chez vos sous-traitants doivent être sécurisées (il est de votre ressort de vous assurer que vos prestataires ayant accès à vos données clients les sécurisent correctement)
  • Vos clients doivent vous fournir un consentement explicite sur le traitement qui sera fait de leurs données (attention aux réservations faites sur des OTA, il est judicieux d’obtenir le consentement de vos clients lors du check-in)

Existe-t-il des assurances en cas de piratage et sont-elles utiles aux groupes hôteliers ?

• Oui ! Vous pouvez souscrire une assurance cyber risques pour votre établissement ou votre groupe hôtelier qui vous indemnisera en cas d’intrusion dans votre système. Lors d’une intrusion, la toute première chose à faire est de contacter le service spécialisé en Cyber Attaque de votre assureur qui vous indiquera la marche à suivre. Si cette démarche n’est pas engagée en amont, l’assurance peut ne pas prendre en charge l’incident. Ces assurances sont proposées par de nombreuses agences, y compris par vos assureurs habituels. Elles couvrent différents cas tels que virus, cyberattaques, piratages… et s’adressent aux entreprises et hôtels de toutes les tailles.