Que se passe-t-il lorsque, dans un secteur d'activité où Les PME et microPME prédominentet qui a encore un faible taux de numérisation, du coup la nécessité de générer, gérer et conserver un immense volume de données pendant trois ans? Les experts consultés par HOSTELTUR ont une réponse claire : que La vulnérabilité des entreprises à la cybercriminalité monte en flèche. Et c’est exactement ce qui, semble-t-il, peut déclencher l’enregistrement des données de réservation.

Ce nouveau contrôle imposé par le ministère de l'Intérieur, correspondant à la Décret royal 933/2021sera lancé avec deux retards le 2 décembre, malgré des demandes de dérogation auprès des agences de voyages -même si cela affectera également les hôtels, les locations touristiques et la location de voitures-, qui ont même lancé un SOS au Ministère de l'Industrie et du Tourisme et des Communautés Autonomes, dont l'effet est encore inconnu.

Fuites de données

« Le problème est que nous allons voir beaucoup plus de données informatiques stockées dans beaucoup plus d'entreprises, et cela va multiplier les risques, car Toutes les entreprises ne protègent pas leurs données de la même manière.« , a déclaré Eusebio Nieva, directeur technique de Check Point Software pour l'Espagne et le Portugal, qui a souligné que les exigences intérieures incluent les données personnelles et financières de tous les clients.

La sécurité des données des clients des agences de voyages peut être compromise. Source : IA / Hosteltur

Et, comme parallèlement aux grandes entreprises comme les chaînes hôtelières ou les tour-opérateurs, ou les réseaux d'agences de voyages, de nombreuses petites entreprises coexistent dans le secteur du tourisme, comme les petits hôtels ou gîtes ruraux, ou les distributeurs de voyages indépendants, les possibilités de fuites de données sont pratiquement infinieslorsque le registre est enfin lancé : « si nous en arrivons à cet extrême, ils vont être vulnérables ».

Plus de sécurité, moins de cybersécurité

Alors, risquons-nous la cybersécurité pour assurer la sécurité ? « C'est un risque très direct, il y a il est plus probable que nos données finissent entre de mauvaises mains« , a assuré l'expert. Et ils prendraient forme comme ceci :  » phishing du propriétaire des données ou d'un employé, pour obtenir ses mots de passe et, à partir de là, entrer. Ou même, s’ils se trouvent sur une page Web mal protégée, ils y accéderaient directement. « Les types d'attaques ne changent pas. »

Il convient de noter ici que le registre des réservations du ministère de l'Intérieur impose aux agents de demander un total de 54 informations à leurs clients – 63 s'ils louent une voiture – pour effectuer des réservations, et selon la prise en compte de le directeur technique de Check Point, « si disposer de données normales facilite une cyberattaque, avoir des données plus détaillées permet de le faire directement« , avec lequel le danger grandit.

Mais, pour bien évaluer le danger, il faut d'abord évaluer la plateforme technologique sur laquelle les données seront intégrées, qui dans ce cas est Hébergements, puis les ressources des entreprises qui les fournissent. collectera, gérera et stockera pendant trois ans, c'est une obligation légale. L'accès au système développé par Interior se fait via la plateforme cl@ve, ou avec le certificat numérique de l'entreprise. Alternativement, les hôtels sont davantage intégrés au système grâce à leurs applications PMS de gestion de fichiers.

Où se situent les vulnérabilités

« Du point de vue du contrôle d'accès à séances d'hébergementla sécurité est excellente puisqu'elle est supportée par un système d'authentification à facteurs multiples tel que cl@ve, équipé d'un système très avancé et fiable. Maintenant, sommes-nous à l’abri d’éventuelles attaques avec l’utilisation de ce système ? Bien sûr que non. C'est ce qu'a déclaré Xavier Ferretjans, expert en cybersécurité chez Binaura Monlex.

Alors, la plateforme Hospedajes est-elle sûre ? « Rien ne nous laisse penser qu'il ne respecte pas les normes telles que le Système National de Sécurité, obligatoire pour l'administration publique depuis 2010. Quant aux serveurs des agences de voyages, des hôtels et des sociétés de location de voitures, dépendra de votre capacité à assurer la sécurité de vos systèmes d’information« , a déclaré le technicien.

Historique des cyberattaques dans le secteur hôtelier

Et il poursuit : « si l'on regarde le nombre d'attaques contre les PME ces dernières années, Je dirais qu'ils ne sont pas sûrs. De plus, si l'on regarde les cyberattaques qui ont été menées contre le secteur hôtelier en 2022 et 2023, Nous sommes confrontés à l'un des secteurs les plus punis et recherchés par les cybercriminels. Nous ajoutons que parmi toutes les informations demandées dans le décret royal 933/2021, telles que les données d'identification, de relation, de contacts, etc., il y a des données sur les transactions effectuées », comme le numéro de compte bancaire ou les données de carte de crédit.

Et que dit le secteur concerné à propos des risques possibles pour la cybersécurité : « Malheureusement, il a été possible de vérifier ces dernières années que tout enregistrement informatisé de données personnelles, peut être soumis à une cyberattaquemalgré la mise en œuvre des plus grandes mesures de cybersécurité possibles », a déclaré Ana Barluenga, directrice du secteur juridique de la Confédération espagnole des agences de voyages (CEAV).

★★★★★