La vérité sur les failles de sécurité dans l'hôtellerie

Introduction à la sécurité dans l'hôtellerie Bonjour à tous. Cette semaine, dans l'épisode 11 de Matt Talks, j'ai voulu parler de la sécurité. La sécurité n'est pas un sujet qui passionne beaucoup de monde. Malheureusement, ce n'est pas la nouvelle fonctionnalité la plus intéressante de l'IA. Il s'agit en fait de protéger vos données dans l'hôtel. Et malheureusement, nous constatons un nombre élevé d'attaques contre les systèmes cloud, alors que traditionnellement, la plupart des plateformes traditionnelles subissent de véritables attaques, et vous verriez ces communiqués de presse avec des millions de comptes volés avec de nombreuses données de cartes de crédit non cryptées. C'est beaucoup plus difficile parce qu'une grande partie de l'industrie est en train de passer au cloud et d'en voir les avantages. Bien que les attaques soient beaucoup moins importantes, nous en voyons un plus grand nombre parce qu'elles poussent psychologiquement vos employés à donner leurs Références de connexion. Ils téléchargent ainsi des données et contactent vos clients. Il s'agit donc d'un modèle assez avancé, contrairement à ce qu'ils faisaient auparavant. Dans ce Matt Talks, je voulais tout d'abord expliquer en détail ce qu'est le phishing, comment il est pratiqué aujourd'hui, ce que vous pouvez faire pour vous en prémunir et, enfin, ce que nous faisons en tant que société pour y remédier. Chapitre Qu'est-ce que le phishing et qui en est victime ? Commençons donc par le phishing. Lorsque vous tombez sur "phishing", vous pensez probablement qu'il s'agit d'un courriel d'un prince d'un pays lointain vous annonçant que vous avez gagné un certain prix. Mais cela va bien au-delà de la simple campagne de courriels disant, vous savez, vérifiez votre compte, cliquez sur ce bouton, puis vous vous connectez et vous venez de transmettre vos Références de connexion. Cela va vraiment beaucoup plus loin que ces campagnes traditionnelles, et ces criminels sont incroyablement intelligents pour piéger vos employés sur le plan psychologique. Alors, qui cela concerne-t-il ? Tout d'abord, nous observons ce phénomène dans l'ensemble du secteur, dans les systèmes de gestion hôtelière, les systèmes de réservation centralisés, les systèmes CRM, tout ce qui contient des informations précieuses sur les clients. Ils recherchent des adresses e-mail, des numéros de téléphone, des noms de clients et des données de réservation. Ce qu'ils essaient d'obtenir, c'est suffisamment de données pour contacter votre client et lui dire : "Bonjour, M. Smith". Vous avez une réservation pour le 5 août à l'hôtel ABC. Malheureusement, votre carte de crédit n'a pas fonctionné. Cliquez sur ce lien pour soumettre à nouveau votre carte de crédit. Ils sont alors dirigés vers un formulaire Google ou un de ces formulaires web. Et puis les clients soumettent leurs références de carte de crédit très personnelles parce que cela semble tout à fait valable. Par exemple, vous recevez un e-mail et ils savent tout sur votre réservation à l'hôtel. Et malheureusement, de très nombreux clients tombent dans le panneau. Cela concerne donc la plupart des secteurs, mais nous constatons une augmentation des attaques au cours des derniers mois dans le secteur de l'hôtellerie et de la restauration. Et ils ciblent les hôteliers parce qu'ils savent que nous possédons toutes ces données très personnelles. Et les personnes qui voyagent ont l'habitude de donner les références de leur carte de crédit de différentes manières, parfois non cryptées, en raison de tous les systèmes existants depuis de nombreuses années. Chapitre Comment fonctionne le phishing, avec des exemples Dans la diapositive suivante, j'expliquerai comment ils s'introduisent dans le système, car il s'agit d'une étape très importante pour que vous puissiez vous en protéger. Le coût de ces attaques est élevé, car les auteurs se connectent à votre système, téléchargent toutes les données des clients, puis prennent contact directement avec eux et débitent leurs cartes de crédit. Et manifestement, les clients en ressentent les effets. Et s'ils peuvent probablement procéder à des rétrofacturations, ils peuvent demander à leur banque de refuser les débits. La réputation de votre hôtel est gravement entachée, car les clients se disent qu'ils ne peuvent pas faire confiance à cet hôtel. Je leur ai fourni mes données. Puis ils ont donné les Références de connexion de leurs employés à ces criminels, et ils utilisent maintenant mes données très personnelles. Nous luttons donc contre les atteintes à la réputation. Et la façon dont ils accèdent aux Références de connexion, la façon dont ils trompent vos employés est en constante évolution. Et ils sont vraiment, vraiment bons, et c'est très difficile à repérer. C'est ce que je voulais vous montrer. Il s'agit donc d'un moyen de vous cibler. Ce que vous voyez, c'est que vos employés vous disent : "Hé ! Je cherche un login Mews. Cela les amène au lien sponsorisé, et permettez-moi de faire une pause. Désolé. Ce que vous voyez, c'est ce lien sponsorisé qui dit application dot mews dot com. Google autorise ces annonceurs, qu'il appelle "annonceurs valides". Nous avons contacté Google à plusieurs reprises pour lui demander de les retirer. Ce ne sont pas des annonceurs valables. Mais parce qu'ils dépensent de l'argent sur Google, Google veut les protéger. C'est complètement fou. Vous voyez que tout ressemble exactement à Mews. Mais que se passe-t-il lorsque vous cliquez sur ce lien ? Vous voyez, vous cliquez dessus, et cela vous amène à un autre URL qui a presque la même apparence. Toute la page, ils ont copié la page de connexion, et ensuite ils vous emmènent à l'application point mewaes point com, avec une URL légèrement différente. La plupart des gens ne l'ont pas et ils se journalisent avec leur nom d'utilisateur, leur Références, et même les codes d'authentification à deux facteurs qu'ils copient maintenant à travers. Ainsi, même avec l'authentification à deux facteurs, vous n'êtes pas sûr à cent pour cent, à moins d'utiliser les liens magiques. C'est ainsi qu'ils se connectent au système. La première étape consiste donc à obtenir les Références de connexion de votre employé. Ils se journalisent avec ces Références. Ils créeront un nouvel utilisateur. Puis, avec ce nouveau compte utilisateur, ils activeront l'authentification à deux facteurs sur ce compte particulier. Ensuite, ils commencent à télécharger des fichiers et des données d'invités, parce que malheureusement l'un de vos employés s'est fait avoir sur un site web public comme Google point com, et ils commencent à cibler vos clients. Il s'agit donc d'une attaque en plusieurs étapes, mais tout commence par le fait que vos employés, malheureusement, remettent de leur plein gré leurs Références de connexion. Nous voyons donc aussi ces pages web, des centaines d'URL différentes. Dans celui-ci, vous voyez, par exemple, qu'il est question d'application dot r n e w s. Il ressemble presque à un m, il faut donc être très doué pour le repérer. L'une des choses que nous enseignons, c'est évidemment de s'assurer qu'ils enregistrent l'URL de la page de connexion directement sur leur ordinateur, de sorte qu'ils n'aient pas à chercher sur Google. Vous ne devriez jamais demander à vos employés de consulter sur Google les pages de connexion aux services en ligne que vous possédez, quels qu'ils soient, et de ne jamais cliquer sur le lien sponsorisé. Le lien sponsorisé est l'endroit où les dommages sont les plus importants. Cela va donc au-delà de l'e-mail. C'est vrai ? Auparavant, vous receviez un courriel vous demandant de cliquer sur ce bouton pour fournir vos Références de connexion. Nous assistons maintenant à un phishing vocal. Il se peut donc qu'ils appellent vos clients et leur disent : "Monsieur Jones, vous avez cette réservation. Pouvez-vous vérifier ? Et la voix est vraiment bonne, et ils utilisent maintenant l'IA pour pour parler à vos clients et pour remettre ces Références. Le phishing par SMS, parce qu'ils ont leur numéro de téléphone dans votre base de données de clients. Et grâce à un courriel, nous avons formé notre personnel à reconnaître les choses qui paraissent douteuses. Cependant, avec les SMS, vous ne pouvez pas voir. Il s'agit simplement d'un SMS que vous recevez d'un numéro aléatoire. Ils connaissent toutes les données de réservation et les clients tombent donc dans le panneau. Et ils multiplient les vecteurs d'attaque contre vos clients et les membres de votre équipe. Chapitre Comment protéger vos équipes et vos clients Parlons donc de la façon dont nous nous protégeons, car c'est une chose très importante. Premièrement, nous devons apprendre à notre personnel à ne jamais utiliser les moteurs de réservation pour trouver des identifiants ou des pages de connexion. Ces pages de connexion doivent être placées en haut de votre page pour tous les services que vous utilisez actuellement dans vos hôtels. Chaque fois que vous utilisez Google, l'URL doit être vérifiée. S'ils insistent pour utiliser Google pour trouver les Références de connexion, vous devez apprendre à votre personnel à vérifier l'URL de connexion, ou à s'assurer qu'il ne clique jamais sur les liens sponsorisés. L'authentification à deux facteurs est un vecteur de protection dans une certaine mesure. Après vous être connecté avec votre adresse e-mail et votre mot de passe, vous recevrez un code sur une application d'authentification ou un e-mail, que vous utiliserez pour effectuer votre check-in. Nous avons déjà remplacé nos courriels par des liens magiques parce qu'alors vous ne vous connectez pas sur la page où vous êtes, mais vous recevez un courriel et vous devez cliquer sur le lien dans le courriel pour vous connecter. Celui-ci contourne les tentatives de phishing que l'on observe actuellement. Cependant, si vous avez le code que vous obtenez sur l'application d'authentification, souvent ces codes sont valables pendant dix, quinze secondes. Lorsque vous les collez sur le faux site web, ces criminels de phishing sont assis dans une copie de votre site web et les copient instantanément. Ils sont donc toujours en mesure de se journalier si vous n'êtes pas diligent. Deux FA, c'est vraiment bien, et nous l'appliquons désormais dans 100 % de nos hôtels. Ils continuent à l'utiliser pour accéder à l'information. Utilisez toujours un seul login par personne. Ne partagez jamais vos mots de passe d'un hôtel à l'autre et veillez à utiliser un directeur/directrice de mots de passe afin que chaque service dispose d'un identifiant différent. Vous ne devez donc jamais utiliser le même mot de passe pour un même service, en particulier pour votre boîte aux lettres, car celle-ci est souvent considérée comme le domaine principal auquel tous vos autres services envoient leurs Références de connexion. Souvent, lorsque vous essayez de vous connecter à un service et que l'on vous dit que vous avez oublié votre mot de passe, il vous suffit d'indiquer votre adresse e-mail pour que l'on vous envoie un e-mail. Ainsi, si le mot de passe de votre compte de messagerie est le même que celui de Mews, vous avez, vous le savez, rendu beaucoup plus facile l'attaque de ces criminels. Septièmement, vous devez exiger des mots de passe sécurisés. Il ne doit donc pas s'agir de mots dont vous vous souvenez ou que vous reconnaissez, car ils peuvent les reformater très facilement. Utilisez un directeur/directrice de mots de passe pour vous donner ces mots de passe sécurisés. Huit, vous devez former votre équipe. Il s'agit d'une session de formation qui doit avoir lieu régulièrement, car ils oublieront qu'ils ne sont pas assidus. Et s'il ne s'agit pas de leurs données, ils s'en moquent éperdument. Si leurs Références sont divulguées, que peut-il leur arriver de pire ? Mais malheureusement, pour vous en tant qu'opérateur hôtelier, cela pourrait être grave et surtout pour les clients. Si vous voyez de nouveaux vecteurs, si vous voyez de nouveaux types d'attaques, assurez-vous de les partager avec notre communauté, avec votre communauté, parce que nous devons nous enseigner les uns les autres. Enfin, soyez toujours, toujours à l'affût. Si vous êtes sur internet, si vous faites des recherches sur Google, ne vous fiez pas aveuglément à tout ce qui se passe, car il existe malheureusement un grand nombre de criminels qui essaient de vous attaquer. Si je devais dire quelque chose, je dirais de faire une capture d'écran de cette page, de la journaliser, de l'imprimer pour vos équipes, de la placer sur le poste de réception pour qu'ils s'en souviennent vraiment. Veillez à ce que cela figure dans le manuel d'embauche, de sorte que lorsque de nouvelles personnes arrivent, vous répétiez toujours ces choses, car elles sont vraiment, vraiment cruciales. Alors quoi Chapitre Que faisons-nous sur Mews que faisons-nous sur Mews? Parce que nous travaillons 24 heures sur 24 pour protéger les membres de votre équipe, vos clients et leurs données. Nous procédons donc à un certain nombre d'autorisations au niveau des appareils. La première est que, lorsque vous vous connectez à un journal, nous vérifions qu'il s'agit bien d'un être humain. Nous avons ajouté cette case à cocher. Si nous reconnaissons l'appareil, donc si je reconnais que l'ordinateur sur lequel je suis actuellement, je me suis connecté aujourd'hui, nous dirons, hey. C'est sûr. Mais si, au moment où vous vous journalisez sur un nouvel appareil, vous recevez un courriel de notre part disant : "Hé !". Un nouveau login a été journalisé depuis Amsterdam où je suis assis aujourd'hui. Est-ce vous ? Cela permet donc d'identifier que quelqu'un s'est connecté sur votre compte. Et si cela vous semble suspect d'une manière ou d'une autre, assurez-vous de tirer la sonnette d'alarme et de contacter l'administrateur de votre hôtel et de réinitialiser vos comptes. Nous investissons massivement dans des ingénieurs experts en sécurité. Cela fait déjà plusieurs mois qu'ils travaillent sans relâche à l'introduction de nouvelles méthodes de protection. Nous formons régulièrement tous les membres de notre équipe en interne. Nous en parlons lors de nos réunions avec tous les intervenants, en veillant à ce que tous ceux qui s'adressent aux clients, à vous, soient sensibilisés. Et nous veillons à ce que chaque ligne de code que nous insérons dans le système tienne compte de la sécurité. Et la plupart de nos ingénieurs logiciels sont entièrement formés à la sécurité. Nous faisons appel à des sociétés pour évaluer en permanence l'ensemble du travail que nous effectuons. Je pense que ce que je vous recommande, c'est de vous demander combien de fois nous avons formé notre équipe et à quelle fréquence nous devrions le faire. Et vous assurer que vous avez mis en place cette formation pour les membres de votre équipe. Si Chapitre Le client sans réservation vous retirez quelque chose de cette courte vidéo, c'est d'apprendre à vos équipes à ne jamais chercher sur Google. Utilisez toujours des signets. Il en va de même pour les pages de connexion à Google. Utilisez toujours les signets enregistrés sur l'ordinateur et assurez-vous que chaque ordinateur que vos employés installent dispose de tous les signets, enregistrés sur leur journal d'une manière ou d'une autre pour les aider, car c'est là que tout se passe. Nous sommes en pourparlers avec Google. Malheureusement, ils ne sont pas utiles, mais nous continuerons à nous battre et à nous assurer que nous les poussons aussi fort que possible. Dans l'intervalle, veillez à ce que les membres de votre équipe ne consultent jamais les pages de connexion de Google. Et si vous avez des inquiétudes, n'hésitez pas à nous contacter. Nous disposons d'une équipe d'assistance disponible 24 heures sur 24 et 7 jours sur 7 pour vous aider à lutter contre ces attaques. Mais c'est sans relâche. Cela dure depuis de nombreux mois et l'escalade se poursuit. Veillez à vous protéger et à protéger vos différents systèmes, car cela se produit dans l'ensemble du secteur, dans différents systèmes. Merci et séjournez en toute sécurité.