Cybersécurité : L’hôtellerie, troisième secteur le plus ciblé, doit se protéger
Lors d’une conférence tenue ce jeudi à l’Hôtel Alt Québec, les équipes de tourisme, loisirs et culture et de cybersécurité de Raymond Chabot Grant Thornton (RCGT) n’ont pas manqué de rappeler à quel point il est primordial pour chaque entreprise (quelque soit sa taille) de s’outiller et d’enrichir les connaissances de son personnel sur l’importance de se protéger contre des cybermenaces qui, constate-t-on, s’avèrent de plus en plus sophistiquées.
Selon les experts présents lors de cette rencontre, ces attaques engendrent d’importants impacts opérationnels et des pertes financières majeures. Dans les dernières années, l’hôtellerie était le troisième secteur le plus ciblé par ce type d’attaque à travers le monde. L’incident récent visant les hôtels Marriott en est un bon exemple. En 2019, au Québec, de nombreux établissements hôteliers ainsi que des infrastructures touristiques ont été touchés par des cyberattaques, notamment par le biais de vols de données et de demandes de rançon, qui s’élèvent à 6 000 par jour en Amérique du Nord. 72 % des entreprises concernées par ces attaques avec demande de rançon comptent moins de 100 employés. Les secteurs du tourisme et de l’hôtellerie demeurent des cibles de choix, entre autres, à cause de l’information sensible disponible, dans un cadre qui se veut trop peu sécurisé. Le coût moyen d’une brèche de sécurité pour une PME s’élève actuellement à 880 000 $.
« Il y a trois ans, lorsque nous avons fondé Vars, qui a récemment été acquis par RCGT, le but était de mettre notre savoir acquis auprès de grandes entreprises, au service de petites organisations qui n’ont ni l’expertise ni les ressources pour améliorer leur posture en termes de cybersécurité, explique Guillaume Caron, expert en sécurité de l’information chez VARS - division de RCGT. On le voit de plus en plus, la PME est encore plus ciblée que la grande entreprise. » L’équipe de VARS a donc mis en place un portfolio de solutions afin de supporter, de façon sporadique, les entreprises qui, malgré qu’elles soient plus petites, s’avèrent confrontées à des défis, des risques et des besoins technologiques semblables. « Avec l’implantation croissante de nouvelles technologies, la surface de risque prend de l’ampleur. Les points d’accès augmentent notamment avec l’Internet des objets. » L’accès croissant à l’information et aux données personnelles des employés représentent également une cible de choix pour les cybercriminels. « On voit effectivement de plus en plus de personnes malveillantes qui commencent à travailler dans des organisations pour avoir accès aux données. »
Se préparer au pire
Guillaume Caron mentionne par ailleurs que les gestionnaires accordent, de façon générale, une confiance aveugle à leurs fournisseurs et partenaires, ce qui entraîne le risque de tierce partie, qui représente actuellement une véritable menace pour la sécurité de l’information. « Si je veux, par exemple, m’attaquer à une grande chaîne hôtelière, je vais tenter de m’infiltrer par le biais de ses partenaires d’affaires, plutôt que de procéder directement. Pour des compagnies plus vulnérables, dont les systèmes sont connectés mais qui ont une culture de sécurité moins avancée, on va voir des cybercriminels pirater les courriels d’un fournisseur pour s’infiltrer ou envoyer des données. » La confiance accordée aux fournisseurs technologiques s’avère également extrêmement à risque, leur niveau de cybersécurité étant rarement mis en cause. « On achète des applications sans savoir si elles ont été préalablement testées et développées dans le cadre d’un programme sécuritaire. Si un incident survient, c’est la réputation de l’établissement qui est en jeu et les opérations de l’entreprise qui sont mises en péril. »
Pour les gestionnaires, il semble primordial d’entreprendre une sérieuse réflexion quant au niveau de cybersécurité de leur entreprise afin de mettre en places les politiques qui s’imposent. Selon Charles Boisseau, directeur principal - stratégie et développement des affaires chez VARS - division de RCGT, certaines questions doivent rapidement être posées puisqu’il faut être conscients des risques. « On doit actuellement se demander : "Si ça m’arrivait, est-ce que j’ai un plan ? Est-ce que je sais quoi faire ? Est-ce qu’on est en mesure de reprendre les opérations manuellement ? Est-ce qu’on n’a que deux clés pour débarrer nos 600 chambres ?" Les réponses seront différentes pour chaque entreprise et les solutions le seront également. C’est un examen que tout le monde devrait faire à l’interne. »
Afin d’accéder au questionnaire pour découvrir votre posture de sécurité, cliquez sur le lien suivant : https://varscorporation.com
(Crédit photo : Pexels)