Comment une cyberattaque a modifié la sécurité de cet hôtel

Introduction Bonjour à tous. Bienvenue dans cette nouvelle édition de Matt Talks. Cette semaine, j'ai voulu parler de la cybersécurité, un sujet qui devrait tous vous passionner, mais qui ne l'est peut-être pas. J'espère que Josh pourra nous enthousiasmer pour ce sujet particulier. Josh, merci de nous avoir rejoints. Nous vous remercions. C'est un plaisir d'être ici. Vous êtes hôtelier. C'est vrai ? Vous avez passé de nombreuses années à travailler dans les tranchées de l'hôtellerie pour en arriver là où vous êtes aujourd'hui. Pouvez-vous nous donner un aperçu de tous les emplois que vous avez occupés dans des hôtels ? Absolument. J'ai donc commencé à travailler avec Accor en deux mille seize, pour Novotel. J'ai travaillé au poste de travail, en tant qu'agent du service client, puis j'ai évolué vers une fonction hybride entre le front office et la restauration. Vous utilisez donc un PMS sur site, un POS à l'ancienne. J'ai ensuite évolué vers la vente. C'est pourquoi je suis devenue directrice/directrice des ventes. Je m'occupe donc à nouveau de conférences et d'événements. Il s'agit là aussi d'un système de vieille école très rigoureux. Je ne fais qu'y penser. Déshabilite. Si je me souviens bien, c'était Digi. Je crois que cela s'appelait. Je n'y ai jamais travaillé avec celui-là. Ce n'est pas très amusant. Mais alors oui. Puis, bien sûr, en deux mille dix-huit, j'ai rejoint Penta Hotels. J'y ai débuté en tant que directrice/directrice du service client. Il s'occupe donc de tout ce qui est opérationnel dans l'hôtel. Je m'occupais de la restauration, du front office, de la cuisine, de l'entretien ménager et de la maintenance, ce qui était très amusant. Puis, en vingt-deux ans, j'ai déménagé dans notre bureau central de soutien à Francfort, mais depuis mon domicile au Royaume-Uni. Oh, c'est bien. Donc, oui. Mais toute votre architecture se trouve aujourd'hui dans le cloud. Si vous travaillez à domicile, je suppose que vous n'utilisez que des systèmes cloud aujourd'hui ? En grande partie. Nous en avons quelques uns que nous sommes encore en train d'éliminer progressivement. Les systèmes de verrouillage de porte ou autres systèmes de ce type ? Des systèmes de verrouillage de porte, des ERP financiers que nous essayons de distribuer. Bien sûr. C'est l'autre. Oui, c'est vrai. Mais surtout, à ce stade, parce que nous venons, et j'en suis très heureux, d'achever la semaine dernière notre déploiement sur Mews. C'est une bonne chose. Félicitations pour ce lancement. Il nous a fallu beaucoup de temps entre les premiers pilotes et le déploiement de l'ensemble de la chaîne. J'aime l'énergie que j'ai ressentie de la part de la marque et la façon dont vous avez adopté ce que nous vous avons apporté. Je vous remercie donc de l'avoir fait avec autant de succès. Oui, c'est vrai. Je vous remercie. Ces trois mois ont été vraiment passionnants. Cela n'a pas été facile. Ce n'est jamais le cas. Oui, c'est vrai. Mais non Avec la bonne attitude, tout est possible. Et je pense, honnêtement, que c'est maintenant que le plaisir commence parce que vous avez mis en place le bon système pour commencer à construire dessus. Et je pense sincèrement que la situation ne fera que s'améliorer à partir de maintenant. Oui, c'est vrai. Je pense que c'est la principale chose que les hôtels ont remarquée. C'est le fait que nous pouvons dire, hé, nous pouvons en fait construire sur cela si rapidement par rapport à avant où nous étions comme, oh, si nous voulons développer quelque chose ou demander à notre partenaire PMS d'ajouter quelque chose, nous devons attendre six mois. Oui, c'est vrai. Vous savez, je suis comme, hey, je peux réellement activer cette intégration en dix secondes. Vous comprenez ? C'est époustouflant pour eux. C'est vraiment fou. Et votre titre de fonction est directeur/directrice des opérations. La plupart des hôtels disposent d'un chef(fe) informatique traditionnel qui gère les imprimantes, les ordinateurs et les serveurs, mais votre fonction semble différente de celle d'un informaticien. Pouvez-vous l'expliquer ? Oui, c'est vrai. Nous avons donc un département numérique qui s'occupe de tout, de l'informatique de base, c'est-à-dire du matériel, de l'aspect réseau. Ce que nous avons fait, c'est que nous avons séparé une équipe de systèmes qui sont les vrais experts, je dis bien les experts, mais les experts dans le domaine parce que nous en savons tellement sur tous ces systèmes tels que PMS, POS, comment les utiliser au mieux parce que nous les avons vécus et respirés. Vous savez, pour ma part, j'utilise le PMS depuis dix ans maintenant. Oui, c'est vrai. Et oui, j'ai ma collègue avec moi et elle est également très douée. Nous avons donc ces experts dans le domaine qui ont été formidables pour aller dans les hôtels et qui savent exactement de quoi nous parlons et qui se sont vraiment attaqués à ces systèmes et les ont développés. C'est une bonne chose. Par rapport à une équipe informatique classique qui est peut-être experte en réseau, mais pas vraiment en hôtellerie. Oui, c'est vrai. Experts en logiciels cloud. Oui, c'est vrai. Cela permet de comprendre ce qui se passe dans les opérations et quels sont les systèmes dont vous avez besoin pour les soutenir. Chapitre L'incident de la cyberattaque Oui. Le sujet d'aujourd'hui porte donc sur la sécurité. Je me souviens qu'en vingt-et-un, vous avez subi une cyberattaque assez grave. Pouvez-vous nous dire ce qui s'est passé ? Oui, c'est vrai. C'était donc le sept octobre vingt-et-un, le jour où mon fils est mort. Vous vous souviendrez toujours de cette date, n'est-ce pas ? Oui, c'est vrai. C'était le jour de la naissance de mon fils. Voilà pourquoi. Oui, c'est vrai. Ce fut donc à la fois un grand jour et un jour terrible. Je me souviens que j'étais à l'hôpital. Mon fils venait de naître. Tout était parfait. Et tout d'un coup, mon téléphone s'emballe, et je me dis : tiens le bébé. Laissez-moi juste effectuer un check-in. Et puis j'ai vu, hey. Nous avons été piratés. Tout ne fonctionne pas. Tout est en panne. À cette époque, je travaillais dans l'un des hôtels. De mon côté, je ne travaillais pas au niveau central, mais les messages ont commencé à arriver de notre département central. Ils m'ont dit : "Prenez tout le matériel que vous avez, tous les ordinateurs, tous les portables, jetez tout à la poubelle". Nous nous sommes demandé ce qui se passait. À l'époque, nous utilisions un PMS sur site. Nous nous sommes donc demandé comment nous pouvions travailler. Ils m'ont dit que je ne pouvais pas. Ils m'ont dit qu'il fallait arrêter de travailler. Fermez tout. Fermez les portes. Mettez tout le monde dehors. Fait. Wow. C'est comme si c'était de la folie. Comme nous l'avons demandé, comment ont-ils eu accès aux systèmes ? Il s'agissait donc de ce que nous appelons une configuration MPLS à l'ancienne. Donc multi protocole, commutation d'étiquette. En gros, nous avions une technologie de réseau dans laquelle tout passe par l'autre. Tous les réseaux sont donc passés les uns par les autres. Ainsi, dès que ces pirates ont eu accès à un élément de notre système, ils ont eu accès à l'ensemble de notre infrastructure. À partir de là, ils ont parcouru librement l'ensemble de notre réseau. Et ils n'ont fait qu'effleurer l'accès d'une personne à ce réseau ? Ou comment sont-ils entrés ? Oui, c'est vrai. Il s'agissait littéralement d'un accès unique. Puis, comme vous l'avez dit, ils ont eu accès à tous les serveurs, à toutes les machines virtuelles, à tous les ordinateurs. Ils ont désactivé notre antivirus et c'est à ce moment-là qu'ils ont introduit le ransomware. C'est fou. Et puis j'imagine que si vous gérez un hôtel, vous n'avez pas de système pour effectuer le check-in. Vous ne saviez probablement même pas qui seraient les clients à l'arrivée, à moins d'avoir imprimé les rapports de sauvegarde. Oui, c'est vrai. Heureusement, c'était un protocole assez strict que nous avions dans le service de l'hôtel. Au moins à l'époque, ils faisaient partie de ce que nous considérions comme une cybersécurité de premier plan. Mais aujourd'hui, avec le recul, je me dis que c'est de la folie. Mais, oui, je veux dire, juste pour ce jour-là, nous avions au moins le rapport des arrivées. Mais je me souviens que nous devions aller dans les supermarchés locaux, nous devions acheter des ordinateurs portables de supermarché, nous devions connecter nos encodeurs clés par des câbles VGA. Rien n'a pu séjourner sur le réseau. Nous avons littéralement tout géré à partir de ce moment-là. Combien de jours ? Nous avons fait cela pendant une semaine entière. Pour l'ensemble de la chaîne ? Oui, c'est vrai. Tous les hôtels de six pays différents. Go, une fois que vous commencez à être en ligne, vous commencez à faire un suivi ou un post-mortem, nous appelons cela une application news où nous commençons, comme, comment cela s'est produit, mais comment pouvons-nous l'empêcher à l'avenir ? Qu'est-ce qui est ressorti de ces réunions ? Par exemple, quel a été le plus grand changement de stratégie que vous avez opéré en disant que nous devions changer notre façon de penser la technologie ? Oui, c'est vrai. Je veux dire par là que nous avons tout revu. Nous avons ensuite travaillé avec un partenaire informatique externe et nous avons vraiment changé notre équipe informatique, qui est passée de simples informaticiens à des experts numériques. Nous avons dû construire ce que nous appelons les six piliers, et c'est aujourd'hui un sujet très important. En effet, nous disposons désormais de ces six piliers que sont la protection, la prévention, la détection, la réaction, la récupération et l'examen. Pour chacun d'entre eux, je pense que nous disposons de vingt, vingt-cinq étapes et éléments différents que nous avons mis en place pour contrôler tout ce qui a trait à la sécurité. Chapitre Mesures de sécurité actuelles C'est Et vous sentez-vous mieux placé aujourd'hui pour éviter que cela ne se reproduise ? Oui, c'est vrai. C'est ce que je pense maintenant. En termes de protection, nous avons tout ce qu'il faut, de l'accès conditionnel aux restrictions IP et au filtrage du contenu web. Ensuite, nous avons la détection Vous pourriez ne pas comprendre ce que vous êtes en train de dire. Qu'est-ce qu'une restriction d'IP par exemple ? Par exemple, nous savons que tout le monde travaille dans nos hôtels en Allemagne. Si l'une de ces personnes prend son ordinateur portable, s'envole pour le Canada et tente de se connecter, elle ne pourra pas le faire. En effet, nous devons détecter les cas où quelque chose n'est pas très courant, où quelque chose n'est pas normal. Et lorsque nous voyons cela, nous nous disons : "Non, vous ne pouvez rien faire". Tout d'abord, il doit passer par des check-in et des approbations pour s'assurer que vous pouvez travailler. Wow. Quelles sont les autres mesures que vous avez mises en place ? Je pense donc qu'il faut aussi, évidemment, scanner le réseau, le surveiller. Nous avons donc littéralement une société tierce qui surveille en permanence l'ensemble du réseau. Ainsi, chaque utilisateur, chaque ordinateur, tout ce qui est signalé comme étant, ne serait-ce que de loin, dangereux, sera instantanément fermé à l'ensemble de l'appareil ou de l'utilisateur. Cela se produit-il souvent que vous empêchez quelqu'un d'accéder à son appareil ? J'y pense maintenant tous les jours. Tous les jours ? Oui, c'est vrai. Parce que c'est incroyable de voir tout ce qui se passe aujourd'hui. On le voit avec des escroqueries de grande envergure, l'email d'une personne est piraté et le PDG envoie un email vous demandant de transférer un million d'euros. C'est incroyable. Oui, c'est vrai. Mais constatez-vous que les membres de l'équipe sont désormais hyper sensibilisés ou cela nécessite-t-il une formation permanente ? Je pense qu'à un niveau plus élevé, c'est très bien connu, mais plus vous descendez dans l'échelle, plus les gens se disent : " Oh, vous avez activé l'authentification à deux facteurs ". C'est très ennuyeux. Cela me prend beaucoup de temps pour me connecter à mon système. Je suis comme, oui, mais si vous voyiez vraiment derrière les portes ce que nous faisons et pourquoi nous le faisons, et je pense que c'est la prise de conscience que nous essayons de pousser. Car comment amener les gens sur ce chemin ? Par exemple, en racontant des histoires, les gens se disent, oh, d'accord. Il y a donc un Historique. Il y a une raison pour laquelle nous faisons cela. Comment amener les gens à participer ? Parce que c'est un sujet sur lequel il est difficile d'obtenir l'engagement des gens. Oui, c'est vrai. Nous faisons donc chaque année une sorte de triste bilan de l'événement. Ainsi, tous les sept octobre, nous remettons l'affaire sur le tapis et nous disons : "Voilà ce qui s'est passé". Nous vivons un triste moment de l'Historique. Mais en plus de cela, nous avons aussi des formations classiques, mais nous essayons de les faire d'une manière plus engageante. Nous avons donc un partenaire très sympathique qui utilise un logiciel de formation beaucoup plus engageant. Il s'agit donc d'un choix multiple. Il s'agit de questions de quiz plus engageantes que les diaporamas habituels. Oui, c'est vrai. Et puis notre service informatique fait aussi une fantastique tentative de campagne de phishing. Toutes les semaines ou toutes les deux semaines, ils envoient un faux courriel à tout le monde. Nous voyons combien de personnes cliquent dessus, combien de personnes ouvrent la pièce jointe. Ces choses sont vraiment intéressantes à voir. Plus nous avançons, moins il y a de gens qui cliquent sur ces choses. Comment recommanderiez-vous, parce que vous avez vécu un événement critique en vingt-et-un, que vous puissiez raconter cette histoire à travers la société et créer cette prise de conscience. Mais beaucoup d'hôtels n'auraient peut-être pas connu un événement aussi grave. Comment leur recommanderiez-vous d'aborder ce sujet et d'inciter les gens à parler des paramètres de sécurité, etc. Je pense que la chose la plus importante qu'ils devraient envisager n'est pas de partir de l'expérience, mais de savoir ce que nous ferions dans le cas où cela se produirait. Comme essayer vraiment de se mettre dans l'état d'esprit d'imaginer demain que nous perdons l'accès à tout. Que quelqu'un crypte toutes nos données et que nous devons le payer ou qu'il nous demande de le faire. Oui, c'est vrai. Comment faire face à cette situation ? Et s'ils vous répondent qu'ils ne savent pas, alors vous avez un problème. Oui, c'est vrai. Vous savez, et vous avez vraiment besoin de vous asseoir et de vous entraîner. C'est un bon jeu de rôle à faire avec l'équipe en disant : "Bon, nous sommes dans un scénario de crise. Nous avons trois heures et dans trois heures, tout accès sera coupé. Ou même aujourd'hui, l'accès est coupé. Comment joueriez-vous cette fonction ? Et il est vraiment intéressant de voir comment les gens réagissent. Je me souviens que lorsque je travaillais dans des hôtels, on nous posait cette question parce que lorsque vous recevez une formation de directrice/directrice, on vous demande ce que vous feriez. Nous avions des feuilles Excel sur nos ordinateurs, à partir desquelles nous effectuions tous les check-in et tous les check-out. Et je me suis dit que c'était de la folie. Cela n'arrivera jamais. Mais cela s'est produit. Et lorsque cela se produit, vous êtes très reconnaissant pour cette formation. Absolument. Oui, c'est vrai. Comme je l'ai dit, je m'en souviens encore. Heureusement, j'étais en congé de paternité à l'époque, mais je travaillais beaucoup à partir de mon téléphone et j'entendais les membres de l'équipe dire qu'ils faisaient tout à partir de WhatsApp et que c'était tout simplement insensé, et vous savez, à l'époque, nous n'avions pas le meilleur logiciel en place car, comme je l'ai dit, nous utilisions des solutions sur site. Mais pourquoi, selon vous, le "on premise" est-il moins sûr que le "cloud" ? Je veux dire, vous avez besoin de choses, vous avez besoin de certaines configurations comme des VPN et vous devez avoir ce serveur physique installé à votre hôtel et vous êtes alors responsable de tout maintenir et c'est bien si vous êtes une grande société Mais si vous êtes une petite société, vous n'êtes pas assis là à penser, par exemple, aux façons dont votre réseau peut être infiltré. Vous ne pensez pas à la conformité, comme la conformité aux normes ISO et SOC 2. Vous ne pensez pas à ces grandes choses comme si vous étiez une petite chaîne ou un petit établissement. Donc, confier ce type de responsabilité à quelqu'un qui contrôle tout pour vous, tant que le cadre est bon, je pense que c'est un peu plus rassurant pour vous. Oui, c'est vrai. Je me souviens d'avoir souvent rencontré des hôteliers et d'avoir débattu de l'opposition entre on prem et cloud, et les propriétaires disaient, oui, mais au moins je sais où se trouve mon serveur. Je peux le responsable du traitement. Je me suis dit, oui, mais cela signifie aussi que d'autres personnes qui veulent faire du mal savent où se trouve votre serveur et peuvent y avoir accès. Alors que dans le cloud, c'est comme si nos serveurs étaient ceux de Microsoft et qu'ils étaient probablement les mieux protégés au monde par rapport à une chambre back-office fermée à clé. À de jouer, c'est cet état d'esprit que nous essayons de faire passer, mais c'est un défi vraiment difficile à relever que d'avoir cette conversation. Oui, c'est vrai. Non. Je peux l'imaginer. Il y a même parfois des chambres de serveurs qui ne sont pas fermées à clé. Si vous avez l'habitude, c'est, mais, oui, aussi. Vous ne devriez pas être responsable d'avoir à aller redémarrer manuellement l'appareil et de le laisser sur le réseau qui est exposé et Yeah. D'autant plus qu'il y a aujourd'hui tellement d'options pour l'avoir vraiment. Il n'y a aucune raison. Oui, c'est vrai. Sur le genre, hébergé avec Azure ou des choses comme ça alors. Au cours de l'année écoulée, nous avons constaté une augmentation des attaques par phishing contre le secteur de l'hôtellerie et de la restauration. Et ce n'est pas seulement contre Mews. Elle s'oppose à toute société qui opère avec des données clients très sensibles. Avez-vous vu ce genre de choses se produire à Penta à l'heure actuelle, ou avez-vous été béni jusqu'à présent ? Malheureusement, ce n'est pas le cas. Chapitre Attaques récentes de phishing dans le secteur de l'hôtellerie et de la restauration Nous l'avons vu, et nous l'avons vu assez souvent ces derniers temps. C'est, vous savez, nous avons une sorte de société propriétaire, puis malheureusement l'une des adresses e-mail a été exposée. Oui, c'est vrai. Et avec cela encore, on envoie des courriels à tout le monde, hé, j'ai besoin que ceci soit fait, que cela soit fait, que cela soit fait. Et bien sûr, si le message provient de cette adresse e-mail, vous êtes plus qu'heureux de pouvoir dire : "D'accord, je modifie cette personne". Cela semble correct. Et vous ferez ce qu'on vous demande. Et vous savez, il n'y a pas que nous. Nous avons reçu des courriels d'autres hôteliers ou d'autres fournisseurs qui ont le même problème. Et comme il provient d'une adresse e-mail à laquelle vous avez peut-être envoyé cinq mille e-mails au cours des trois dernières années, vous n'y pensez même pas. Non. Vous ne le savez vraiment pas. Vous partez du principe que c'est correct. Et nous recevons tellement de courriels que nous sommes obligés de cliquer sur tout. Et, par chance, vous disposez d'un système informatique qui vous permet de créer des tentatives de phishing pour essayer de tromper vos employés, ce qui débouche sur une formation. Et je pense que c'est probablement l'un des meilleurs moyens de promouvoir l'éducation. Mais on est aussi fort que son maillon le plus faible, et c'est vraiment vrai. Il est essentiel de maintenir les paramètres d'accès pour savoir si ces personnes ont besoin de droits d'administration sur le système ou si elles s'en passeraient bien. C'est l'une des choses qui suscitent le plus de réactions négatives, car les opérateurs se disent : "Oui, j'en ai besoin parce que j'ai besoin de faire ces choses". Et vous vous dites, je ne pense pas que ce soit le cas, mais c'est une conversation difficile, je suppose. Chapitre L'importance du contrôle d'accès Oui. C'est ce qui se passe en général. Je veux dire que, par expérience, même ce matin, j'ai reçu trois demandes différentes. Nous avons besoin d'accéder à ceci en vertu de cette autorisation ou cette personne a besoin d'accéder à cette autorisation. Et plus on vous en donne, plus vous êtes exposé, vous savez. Si, comme vous l'avez dit, une personne accède à son compte, plus nous lui donnons d'autorisations, plus elle peut en faire. Oui, c'est vrai. Et vous avez mentionné que vous êtes tous sur l'authentification à deux facteurs à cent pour cent. Envisagez-vous d'utiliser des clés d'accès ou d'autres moyens pour protéger les systèmes ? Oui, c'est vrai. Si je me réfère à ces dernières années, nous avions donc un système assez vaste. Nous sommes en train de le condenser, ce qui explique pourquoi nous avons tout fait avec Mews au cours des derniers mois. Mais je pense que nous sommes allés jusqu'à avoir, à un moment donné, environ soixante-quinze systèmes ou applications différents utilisés dans tous les départements et essayer d'activer le 2FA, le SSO, toutes ces choses sur chacun d'entre eux a représenté beaucoup de travail. Oui, c'est vrai. Mais nous essayons également de mettre au point un directeur/directrice des accès. Nous avons donc un grand nombre d'utilisateurs centraux qui l'utilisent, mais nous voulons maintenant déployer un directeur/directrice de mots de passe pour chaque utilisateur. C'est très bien. Cela signifie qu'il n'apparaîtra pour remplir ces références que si vous êtes sur le site web approprié. Ainsi, si vous cherchez par hasard sur Google Mews login et que vous allez sur Mews avec deux s point com, votre mot de passe ne va pas se remplir automatiquement et vous allez vous arrêter et vous dire : "Hé, il y a quelque chose qui ne va pas ici". Oui, c'est vrai. C'est donc déjà en cours et c'est quelque chose que nous allons certainement mettre en place. Oui, c'est vrai. Le scénario que vous venez d'expliquer, nous le voyons tous les jours. Vous avez donc ces fermes de phishing dans des pays situés très loin à l'est qui sont destinées à attaquer les sociétés. Et ils créeront un faux site web dont l'URL ne contiendra qu'une faute d'orthographe. Ensuite, ils travaillent avec Google pour piloter AdWords afin de mettre en avant leur annonce, qui semble tout à fait légitime lorsque vous cliquez dessus. Ce n'est qu'une fois que vous avez cliqué dessus et que vous êtes allé sur le site web que l'URL est légèrement décalée. Mais la page de connexion ressemble exactement à Mews. Oui, c'est vrai. Et heureusement, parce que lorsque vous avez un directeur/directrice de mots de passe, il ne voit pas, il ne reconnaît pas le site web, donc il ne vous donnerait pas le mot de passe. Mais beaucoup d'hôtels ne disposent pas de ces éléments. Ils ont mémorisé leur mot de passe et utilisent le même mot de passe dans tous les systèmes. Ainsi, dès qu'ils ont saisi votre mot de passe, ils peuvent se connecter à tous les autres systèmes en aval. Et c'est là que, vous savez, l'authentification à deux facteurs, l'authentification unique ou le Clé d'accès sont, comme, ces belles solutions qui protègent les hôtels. Mais cela a été une bataille. Lorsque nous avons mis en place l'authentification à deux facteurs, vous ne pouvez qu'imaginer la haine que nous avons reçue de la part des hôteliers qui nous ont dit : "Vous nous rendez la vie impossible". J'étais comme, non. Par exemple, nous protégeons les données de vos clients. Mais les hôteliers, eux, aiment se journalier le plus rapidement possible. Bien sûr. Je veux dire que je le vois encore aujourd'hui. Comme je l'ai dit, cela fait neuf ou dix semaines que je suis sur l'établissement, que je me déplace pour diffuser des informations et que l'on voit encore des gens écrire leur mot de passe sur des notes. Et vous vous demandez ce que vous faites. Oui, c'est vrai. C'est incroyable. Mais non, je pense qu'avec la clé d'accès Mews , nous essayons également de leur inculquer certaines informations. Mais si vous utilisez la clé d'accès Mews , vous pouvez vous connecter en un seul clic. Vous n'avez pas besoin d'attendre et de trouver votre code sur votre application d'authentification, mais c'est aussi alors une couche de protection complémentaire. Chapitre Technologie Clé d'accès Je n'avais jamais vraiment compris ce qu'était Clé d'accès jusqu'à ce que je commence à l'utiliser, et il s'agit en fait d'une connexion biométrique. Avec votre directeur/directrice de mots de passe, vous mettez donc en place une connexion biométrique. Ainsi, à chaque fois que vous vous connectez sur votre ordinateur, vous vous connectez avec votre scanner facial ou votre empreinte digitale, et ils ne peuvent pas les copier. C'est impossible à copier. C'est donc le moyen le plus sûr de se connecter à quoi que ce soit. Et nous avons tous la Clé d'accès. Nous avons tous un smartphone, il n'y a pas une seule personne que je connaisse qui n'ait pas un smartphone, avec ces choses installées. Et c'est vraiment incroyable. La semaine dernière, j'ai vu que WhatsApp avait mis en place un clé d'accès, et je me suis dit qu'ils surveillaient nos blogs. C'est vraiment bien qu'ils réalisent enfin que c'est l'avenir. Mais je dirais que si vous faites quelque chose, c'est vraiment d'appliquer la clé d'accès et de vous assurer que la connexion biométrique est la seule voie à suivre. J'ai réussi ce week-end, car j'ai déjeuné avec ma mère et mon père, et j'ai enfin réussi à convaincre ma mère d'utiliser Apple Pay. Oh, wow. Et je me suis dit que c'était biométrique. Par exemple, à chaque fois que vous payez, l'appareil sait que c'est vous grâce à votre reconnaissance faciale. Mais je me suis battu contre cela pendant quelques années. C'est donc ma grande victoire de la semaine. Oui, c'est vrai. J'ai encore ce combat lorsque je vais souvent en Allemagne. Au Royaume-Uni, le fait de porter un portefeuille est même considéré comme une folie. Oui, c'est vrai. Comme s'il s'agissait uniquement d'Apple Pay ou d'Android ou de Google Pay partout. Oui, c'est vrai. Je me souviens de la première fois que je suis allé en Allemagne, je suis monté dans un taxi et le type m'a dit : "Seulement du liquide ou si vous êtes vraiment pressé, c'est PayPal". Et j'étais comme PayPal. Que se passe-t-il ? Je suis allé dans un magasin et on m'a dit : "Oui, c'est en liquide ou vous avez besoin d'une carte physique". Nous n'acceptons pas Apple Pay. Je me suis dit que c'était de la folie. Les hôtels Penta nous disent donc qu'ils sont maintenant entièrement dans le cloud avec des paramètres de sécurité. Qu'est-ce qui se passe Suivant ? Quelle est la chose qui vous enthousiasme du point de vue de la sécurité ? Chapitre La sécurité dans les environnements partagés Je pense qu'il s'agit plutôt de passer à l'échelle supérieure. Comme je l'ai dit, quelque chose d'aussi simple que, avec les clés d'accès, c'est bon. Par exemple, si quelqu'un dispose d'un appareil personnel, n'est-ce pas ? Parce que votre ordinateur portable est équipé d'un appareil photo ou d'un lecteur d'empreintes digitales. Mais de nombreux hôtels se demanderont probablement ce qu'il en est des ordinateurs du poste de travail où tout le monde partage le même identifiant. Il n'y a pas d'ordinateur portable. C'est un véritable ordinateur. Je pense qu'ils doivent se rendre compte que c'est en fait assez simple. Par exemple, vous pouvez acheter les caméras Windows Hello, qu'il suffit de coller sur votre ordinateur, de brancher, et tout le monde peut désormais bénéficier de la reconnaissance faciale. Certes, chaque utilisateur devra posséder son propre compte Microsoft, mais on ne peut pas mettre de l'argent ou des coûts devant une protection de cybersécurité comme celle-là. Je pense que c'est la chose la plus importante que nous ayons comprise. Oui, c'est vrai. Et comme, aimez-vous qui dans la société vous a donné le droit de pousser les paramètres de sécurité jusqu'à présent ? Quelle est la personne qui vous permet de prendre l'initiative de ces conversations ? Ainsi, notre responsable du numérique, il est tellement pro cybersécurité, comme la cybersécurité. Et nous avons eu des conversations avec notre équipe de direction. Je pense donc que, vous savez, Victoria, c'est ça ? Oui, c'est vrai. Ensuite, vous n'avez même pas besoin de donner d'explication. Vous vous dites : "Hé, non, c'est absolument obligatoire en termes de sécurité". Nous ne pouvons pas dire : "Hé, c'est trop cher". Oui, c'est vrai. Oui. On peut aller très loin et dire que nous avons mis en place tellement de mesures que c'en est fou. Mais même au niveau de la couche de base, vous ne pouvez pas vous contenter de penser que c'est trop cher pour nous. Nous avons souvent discuté de l'authentification unique, car il s'agit d'une infrastructure complète que vous mettez en place pour gérer tous les logins de vos employés dans tous les paramètres. Mais lorsque l'employé part, il suffit de supprimer la personne de l'authentification unique pour qu'elle soit merveilleusement supprimée de tous les systèmes. Mais il est cher. Et pour certains petits groupes hôteliers, ce n'est peut-être pas la meilleure solution. C'est la raison pour laquelle nous avons mis en place Clé d'accès, car nous nous sommes dit qu'au moins le journal était sécurisé, mais que l'authentification unique était de loin la meilleure chose à faire. Mais discutez des budgets avant de commencer à déployer ce système, car il n'est pas bon marché. Oui, c'est vrai. Non. C'est vrai. Chapitre L'authentification unique dans les hôtels Et comme je l'ai dit, tant qu'il y a plusieurs options disponibles. Oui, c'est vrai. Le SSO est, comme vous l'avez dit, génial parce qu'il suffit de l'enlever une fois pour qu'il soit supprimé dans tous les systèmes avec lesquels vous l'avez activé. Oui, c'est vrai. Et notre secteur connaît une forte rotation. Les gens partent. C'est une chose qui arrive tous les jours. Vous savez, les gens oublient toujours d'embarquer des personnes. Par exemple, vous pouvez les retirer de l'endroit où cela vous coûte le plus d'argent, comme dans le cas d'Active Directory ou d'Azure, où vous payez les frais de licence. Mais si cet utilisateur est présent dans quinze autres systèmes, quelqu'un, quelque part, oubliera de le retirer. Chaque fois, c'est un élément de risque supplémentaire et cela ne fait que s'accumuler. Et surtout à notre époque, vous ne pouvez pas avoir ce genre d'exposition. Non. Josh, j'ai beaucoup apprécié cette conversation. Je peux imaginer le stress que vingt-et-un et cette attaque vous ont causé, mais j'aime la façon dont vous avez pris cela comme un moment de changement, et vous vous êtes appuyés sur le changement. Vous avez adopté le cloud. Vous avez adopté des paramètres de sécurité. Je pense que vous avez donné un excellent exemple pour notre industrie, qui est constamment attaquée par ces cybercriminels. Je vous remercie donc de partager si ouvertement votre expérience. Je pense que le fait que des personnes comme vous en parlent permettra, je l'espère, d'ouvrir les yeux de certaines personnes et de leur faire penser que c'est peut-être aujourd'hui que je vais changer les choses. Je vous remercie donc pour votre partage. Non. Ce fut un plaisir. C'est certainement quelque chose que nous devons faire connaître. C'est une bonne chose. Nous vous remercions. Nous vous remercions.