Catégories
Actualité Hôtellerie

Sécurité des données, Covid-19 et le secteur hôtelier

Comme le Royaume-Uni 3rd premier employeur en 2017 selon UK Hospitality, l’importance économique de la réouverture du secteur de l’hôtellerie au Royaume-Uni ne saurait être surestimée. Ajoutez à cela le lourd tribut causé par l'isolement et la monotonie de la restauration à domicile, et de nombreux clients ainsi que le personnel sont impatients de voir cette industrie dynamique reprendre ses forces.

Cependant, en plus de se prémunir contre les risques pour la santé du coronavirus, les propriétaires d'hôtels et de restaurants doivent également prêter attention aux risques accrus de sécurité des données. Le rôle du secteur dans le soutien du service de test et de traçabilité du gouvernement augmente inévitablement la quantité de données personnelles détenues sur les invités / convives. La pandémie a aussi radicalement bouleversé les modes de travail établis et d’interaction les uns avec les autres. Pour les secteurs capables de continuer à fonctionner pendant le verrouillage, l'adaptation à un environnement de travail à 100% à domicile et la réduction des contacts en direct avec les collègues a été un terrain fertile pour les fraudeurs utilisant des e-mails de phishing et des méthodes «low tech» comme l'ingénierie sociale pour perpétrer un virement bancaire fraudes et vol d'identité. Tous les incidents de compromission de données ne sont pas le résultat de tiers malveillants; l'erreur accidentelle et la négligence continuent à jouer un rôle (y compris la «solution de contournement» de sécurité par le travailleur à domicile frustré aux prises avec une configuration informatique inconnue).

Partout où il y a un pool de données personnelles, cela présente une opportunité pour les criminels. Il convient de garder à l'esprit que même des informations apparemment inoffensives peuvent être combinées avec d'autres informations obtenues par des escrocs avec un effet considérable. Plus l'établissement est prestigieux, plus le potentiel présenté par sa clientèle aisée est grand. L'incident récent au Ritz aurait impliqué un accès non autorisé au système de commande d'aliments et de boissons. Des criminels ont alors apparemment usurpé le numéro de téléphone de l'hôtel et appelé les futurs clients, affirmant que leur carte de crédit avait été refusée et demandant de nouveaux détails de carte pour garantir leur réservation. Le fait que les escrocs connaissaient les dates et les détails de la réservation a peut-être aidé à convaincre un certain nombre de clients que l'appel était authentique.

Pour paraphraser une citation populaire, il n’existe que deux types d’organisations: celles qui savent qu’elles ont subi une faille de sécurité et celles qui ne le réalisent pas encore. Le secteur hôtelier ne fait pas exception et donc avec la montée des cyberattaques, ainsi que les amendes réglementaires (voir ci-dessous), que doivent faire les équipes de direction pour renforcer leur gouvernance de protection des données?

Certaines priorités dépendront de votre environnement informatique spécifique, par exemple l'hébergement, l'étendue de l'interaction et la connectivité avec les systèmes tiers, les applications logicielles, le système d'exploitation, le volume et le type de données (en particulier les exigences de l'industrie des cartes de paiement, le cas échéant). Cependant, de nombreux aspects sont communs à toute une gamme de configurations, comme l'attribution de la responsabilité de la conformité au RGPD au sein de l'organisation, l'attribution de ressources appropriées au rôle et la garantie d'une ligne de rapport au conseil d'administration. Il est de plus en plus important d'offrir une formation à la protection des données adaptée au rôle; Encouragez le personnel à traiter chaque élément de données client comme précieux – ce détail de réservation pourrait être la dernière pièce du puzzle pour qu'un fraudeur réussisse un vol plus important, par exemple. pour persuader le client qu'il appelle depuis le service de fraude de sa banque et reprendre le compte.

Les autres étapes comprennent la révocation de l'accès au système informatique pour le personnel partant ou en congé, et l'assurance que l'accès aux systèmes de réservation est limité aux personnes qui en ont besoin pour leurs fonctions, les mots de passe complexes devant être modifiés régulièrement. Les établissements qui cherchent à introduire des systèmes de paiement à distance compatibles COVID pour les clients des restaurants voudront s'assurer que ces applications tierces sont robustes du point de vue de la sécurité des données, afin que les données des clients et leurs paiements soient assurés.

Quelles sont les sanctions potentielles en cas d'incidents de données? Outre des amendes d'un maximum de 4% du chiffre d'affaires annuel mondial ou 17 millions de livres sterling (selon le montant le plus élevé), des ordonnances exigeant des modifications de l'utilisation des données, même la suppression de données, peuvent être émises par le régulateur britannique de la protection des données, l'ICO.

L'ICO a annoncé en juin 2019 son intention d'infliger une amende de 99,2 millions de livres sterling aux hôtels Marriott à la suite d'une violation de données historique de longue date affectant 30 millions de citoyens de l'UE et liée au groupe d'hôtels Starwood. acquisition en 2016. Les données compromises comprenaient les détails de la carte de crédit, les numéros de passeport et les dates de naissance de certains clients. Marriott a fait appel et le montant de l'amende finale devrait être inférieur et connu dans les prochains mois. En outre, il existe une tendance croissante au Royaume-Uni à des litiges collectifs visant à obtenir une indemnisation intentés par des personnes touchées par des violations de la sécurité des données. Il a été annoncé en août qu'une telle réclamation de groupe était intentée contre Marriott devant la Haute Cour de Londres; la classe représentative devrait comprendre plusieurs millions d'individus, ce qui signifie que même un montant individuel modeste pourrait correspondre à un chiffre global très substantiel.

Une once de prévention vaut une livre de guérison. Apprendre des malheurs des autres grâce à une formation à la sécurité des données et à des exercices de simulation de violation de données permet de faire vivre les risques. Des entreprises comme la BCLP travaillent souvent avec des clients dans ce secteur, en concevant des «exercices» d'éducation et de violation de données sur mesure. Les employés peuvent souvent être identifiés comme une vulnérabilité en matière de protection des données; dans le même temps, ils peuvent également être considérés comme les gardiens de la sécurité des données d’une organisation et aussi de sa réputation – valant sûrement une «once» d’investissement.


Par Kate Brimsted, Responsable britannique de la confidentialité des données et de la cybersécurité chez Bryan Cave Leighton Paisner LLP

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *