Avec l'augmentation constante des cyberattaques, la sécurité informatique des entreprises est devenue un sujet de préoccupation majeur. A ce titre, le Centre national pour la cybersécurité (NCSC), créé en 2019, deviendra dans les prochaines années un office fédéral à part entière. En moyenne, le NCSC reçoit plus de 300 annonces par semaine concernant des tentatives de cyberattaques et des cyberattaques réussies sur des particuliers, entreprises ou administrations suisses. Le secteur hôtelier n'échappe évidemment pas à cette menace planétaire. Spécialiste reconnu des questions de cybersécurité à la Fédération des entreprises romandes (FER) de Genève, Raoul Diez explique pourquoi il est essentiel de se protéger. [IMG 2]
Raoul Diez, quel est selon vous le degré de prise de conscience du danger informatique dans le secteur hôtelier aujourd’hui?
Je pense qu’il est comme dans toutes les autres branches, ni plus, ni moins. J’ai déjà fait par le passé quelques présentations pour sensibiliser les hôteliers aux risques en cybersécurité, sans pour autant atteindre ma cible. Mais ce n’est pas propre aux hôteliers. Par le passé, j’ai fait ce genre d’expérience avec l’ensemble du tissu entrepreneurial romand. Mais on est aujourd’hui arrivé à un seuil où tout le monde commence à réaliser et à prendre la mesure du risque.
Concrètement, à quoi ressemble une cyberattaque?
Dans 94% des cas, c'est à travers un e-mail: des escrocs envoient des dizaines de milliers de messages contenant soit une pièce attachée, dans laquelle se cache le téléchargement d’un virus informatique, ou bien un lien vers un site Internet malveillant. Si vous cliquez par inadvertance sur la pièce attachée (dans la plupart des cas un document Word, PowerPoint ou Excel, plus rarement un PDF) ou sur le lien, le virus s’installe sur votre ordinateur, qui se connecte alors aux serveurs des hackers qui finissent par prendre le contrôle de votre machine. Entre les lignes, il est clairement indiqué que si l’on règle la problématique de l'e-mail, on élimine une bonne partie des menaces.
Au chevet des PME depuis 20 ans
Âgé de 63 ans, Raoul Diez est directeur conseil en cybersécurité pour les PME à la Fédération des entreprises romandes Genève (FER Genève). Membre du comité scientifique du département de formation continue en sécurité de l’information (Infosec) de l’Université de Genève, il donne également des cours dans le cadre de la préparation au brevet fédéral de spécialiste en cybersécurité (BF CSS). Informaticien de carrière, il se spécialise dans la cybersécurité à partir des années 2000. Expert reconnu et pédagogue infatigable, Raoul Diez intervient auprès des entreprises genevoises depuis près de 20 ans afin de les sensibiliser aux risques liés à la pratique d’Internet.
Que se passe-t-il ensuite?
Le virus pouvant être un rançongiciel ou ransomware, il bloque l’accès à l’ordinateur en réclamant à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Autrement dit, une entreprise qui est victime d’un rançongiciel ne peut plus utiliser son système informatique: plus de facturation, gestion clients, paiements des salaires et fournisseurs, téléphonie, etc. Selon les régions, de 30 à 60% des sociétés qui ont été piratées déposent le bilan à court terme. Même celles qui ont payé la rançon et reçu en échange la clé de déchiffrement, peinent à pouvoir rétablir leur environnement informatique complètement. Notons le chantage à la publication des données volées pour que le client paie la somme demandée.
Du type de celui subi par la commune de Rolle l’année dernière?
Tout à fait. Les données d’environ 5000 habitants de Rolle ont été dérobées pendant l’été 2021. La ville ayant refusé de payer la rançon, les données ont été publiées sur le darkweb, l’Internet où les escrocs en tout genre s’échangent et monnaient les données volées. Ce genre d’épisode laisse forcément des traces... Ajoutons pour l’exemple Uber, qui s’est fait pirater dernièrement, sans oublier les données des patients d’un hôpital français qui ont également été mises sur le darkweb. En résumé, le piratage à travers un ransomware consiste à exiger une rançon pour deux raisons: premièrement, pour que vous puissiez à nouveau avoir accès à votre système informatique, et deuxièmement, pour que les données que l’on vous a dérobées ne soient pas divulguées. Ce fléau touche des entreprises suisses tous les jours.
Quand on parle de hacking et de cybersécurité avec les hôteliers, le réflexe est de penser avant tout au piratage de moyens de paiement.
Les cartes de crédit sont effectivement l’un des sujets de préoccupation chez les hôteliers, mais je ne crois pas que ce soit le seul problème. Il faut comprendre que le risque en cybersécurité ne se limite pas aux moyens de paiement. Les hôteliers disposent d'informations personnelles sur les clients, et leur business repose sur la discrétion.
«Environ 30 à 40% des sociétés piratées déposent le bilan au bout de 2 ans»
Les hôteliers sont donc assis sur une mine d'or, les données de leurs clients?
Les données, ce sont le nouvel or noir. Et j’ajouterais que ce n’est pas parce que vous ne faites rien de particulier avec, que vous ne devez pas les protéger. La nouvelle loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023. Cette loi a pour objectif de mettre l’accent sur la protection de la sphère privée, protégeant davantage les informations que les individus confient à des tiers.
Si un hôtelier se fait hacker, il est donc responsable devant la loi, et ses clients peuvent se retourner contre lui?
C’est ce que prévoit en effet la LPD pour les clients suisses. Pour les clients européens, c’est la même chose, sauf que le cadre juridique est celui du règlement général sur la protection des données (RGPD) de l’Union européenne.
La Suisse est-elle un eldorado pour les hackers, comme on l’entend souvent?
Bien entendu, ça vaut toujours le coup de pirater une entreprise dans un pays dont la devise et l’économie sont fortes. Et certains secteurs d’activité économiques propres à notre pays, comme celui de la banque, attisent les convoitises. Certaines entreprises feraient tout pour qu’un piratage ne se sache pas. Elles seraient donc prêtes à payer.
«La meilleure façon de résoudre ce problème, c’est encore de l’éviter»
Prenons l’exemple d’un 3 étoiles familial d’environ 50 chambres. Que représentent les coûts de protection?
Cela dépend de beaucoup de facteurs, du nombre d’ordinateurs, si vous devez faire appel à un informaticien extérieur ou pas, etc. Il vous faut de toute façon un antivirus, un antispam, et si vous avez un site Internet, il faut le protéger. Outre les outils de gestion, il faut avoir des outils de sauvegarde, soit localement soit dans le cloud, et proposés par une entreprise suisse si possible. Si l’entreprise a par exemple trois ou quatre postes, il faut compter entre 10 et 20'000 francs de budget annuel (matériel, maintenance, outils).
C’est une somme importante.
C’est indéniable, mais c’est à mettre en relation avec le coût d'une cyberattaque. Pour une intervention, un spécialiste informaticien facture 1600 francs par jour, en tenant compte d'une fourchette basse. Sachant que les hackers chiffrent entièrement vos données, la récupération de celles-ci atteint rarement 100%, et cela prend du temps. Par ailleurs, rien n’empêche les escrocs de revenir trois ou quatre mois plus tard, alors même que vous avez payé. La meilleure manière de résoudre ce problème, c’est encore de l’éviter. Il faut donc faire en sorte que cela ne se produise pas et mettre tout en place afin de se protéger avec efficacité.
Association romande des hôteliers
Un audit gratuit pour l'évaluation complète des cyberrisques
Prenant acte du nombre grandissant de piratages en Suisse, l'Association Romande des Hôteliers (ARH) a pris le taureau par les cornes et s'est associée avec le groupe anglais Assured Cyber Protection. L'ARH propose ainsi à tous ses membres une évaluation complète des cyberrisques de chaque établissement ainsi qu'un programme de sensibilisation et de formation en cybersécurité. Le tout gratuitement, alors qu'une telle opération coûte en moyenne entre 4000 et 8000 francs. «L’hôtellerie est rapidement devenue une cible lucrative. Plusieurs membres ont subi des attaques. La question n’est plus de savoir si vous allez vous faire pirater, mais quand!», a écrit le directeur de l'ARH Alain Becker dans sa lettre envoyée début septembre à tous les membres. «Tout type d’établissement est susceptible d’être piraté, petit ou grand. Personne n’est à l’abri», a souligné Alain Becker. axw
