Dans le climat économique actuel, tout tourne autour des données, qui doivent être protégées au maximum contre les influences extérieures. Comment assurer la protection de vos données informatiques dans votre établissement Horeca ? Nous avons mené l’enquête.

En collaboration avec l’Antwerp Hotel Association et Apogado, une société de consultance IT indépendante spécialisée dans la protection des données, la cybersécurité et la conformité en matière d’IA, Coriotech, entreprise spécialisée dans les applications réseau et audiovisuelles notamment pour le secteur hôtelier, a récemment organisé une table ronde consacrée aux dangers de la cybercriminalité et aux mesures permettant de s’en protéger.

En 2026, ce sont surtout les secteurs des télécommunications, de l’énergie et des soins de santé qui sont le plus fréquemment victimes d’attaques numériques. Mais bien entendu, toute entreprise peut être concernée.

Le secteur Horeca constitue une cible particulièrement attractive, car il fonctionne avec de faibles marges, connaît un important turnover du personnel, dépend fortement des outils numériques (caisses, systèmes de réservation, paiements) et ne dispose généralement pas de service IT interne.

Quels sont les cas de cybercriminalité les plus fréquents dans le secteur de l’hospitalité ?

« Globalement, on distingue cinq formes de cybercriminalité », explique Koert Van Espen, managing partner d’Apogado :

  • Phishing et fraude à la facture : des collaborateurs reçoivent des e-mails apparemment légitimes de fournisseurs ou de plateformes de réservation (Booking.com, fournisseurs d’énergie, partenaires habituels…) mentionnant des coordonnées de paiement modifiées.
  • Attaques par ransomware : les systèmes de caisse, de réservation ou les environnements back-office sont chiffrés et rendus inaccessibles en échange d’une rançon. On observe de plus en plus souvent une ‘double extorsion’ : les exploitants doivent payer pour récupérer leurs systèmes et pour éviter que des données client confidentielles ne soient rendues publiques.
  • Prise de contrôle de comptes sur les réseaux sociaux ou plateformes de réservation, par exemple lorsque des fraudeurs s’emparent de la page Facebook ou du compte Booking d’un hôtel.
  • Fuites de données clients (risque RGPD, avec des amendes potentiellement lourdes), souvent dues à des mots de passe faibles ou à des réseaux wifi insuffisamment sécurisés.
  • Fraude au CEO : surtout présente dans les grands groupes hôteliers, lorsqu’un collaborateur reçoit un message ou un appel d’une personne se faisant passer pour le dirigeant ou la direction avec une demande urgente de paiement.

On constate également une nette augmentation des e-mails de phishing générés par l’IA. Ceux-ci sont rédigés sans fautes et fortement personnalisés, ce qui les rend beaucoup plus difficiles à détecter. Par ailleurs, les attaques via des fournisseurs ou partenaires logiciels — les attaques dites de la chaîne d’approvisionnement (supply chain) — sont en hausse.

La double authentification : suffisamment appliquée sur le terrain ?

La double authentification (2FA (authentification à deux facteurs) / MFA (vérification multiple)) est aujourd’hui l’une des mesures les plus efficaces et accessibles contre la prise de contrôle de comptes. Mais est-elle suffisamment appliquée sur le terrain ?

« Dans la pratique, nous constatons que les grandes chaînes hôtelières l’implémentent généralement correctement, mais que les petites et moyennes entreprises Horeca l’utilisent encore insuffisamment », poursuit Koert Van Espen. « De plus, la 2FA n’est souvent pas activée sur les réseaux sociaux, les comptes e-mail ou les plateformes de réservation — précisément là où le risque est le plus élevé. Le secteur doit également prendre ses responsabilités en investissant davantage dans la formation, la sensibilisation et des mesures de sécurité structurelles. »

La certification ISO en sécurité de l’information : de quoi s’agit-il et est-ce obligatoire ?

« La norme la plus pertinente est l’ISO/IEC 27001, la norme internationale relative au management de la sécurité de l’information. Pour obtenir cette certification, une entreprise doit :

  • Réaliser une analyse de risques approfondie
  • Mettre en œuvre des mesures de sécurité techniques, organisationnelles et juridiques
  • Formaliser des procédures et documents de politique interne
  • Effectuer des audits internes
  • Se soumettre à un audit par un organisme de certification accrédité

Est-ce obligatoire ?

« Non. La norme ISO 27001 n’est pas légalement obligatoire pour les entreprises Horeca. Il s’agit toutefois d’un label de qualité fort, démontrant qu’une entreprise aborde la cybersécurité de manière structurelle et professionnelle. Cela peut constituer un avantage concurrentiel et être exigé contractuellement lors de collaborations avec de grands partenaires ou des autorités publiques. »

Pour le parcours préparatoire, une entreprise peut bénéficier d’un subside pouvant atteindre 50 % via les trajectoires d’amélioration en cybersécurité de la VLAIO, lorsqu’elle fait appel à un prestataire reconnu tel qu’Apogado.

Important : même sans certification ISO, les entreprises restent soumises au RGPD et (selon leur position dans la chaîne) potentiellement aux nouvelles réglementations européennes telles que la directive NIS2.

Quel est le ‘minimum minimorum’ qu’une entreprise Horeca doit prévoir contre la cybercriminalité ?

« Chaque établissement Horeca devrait au minimum disposer de :

  • Mots de passe forts et authentification à 2 facteurs sur tous les comptes critiques
  • Mises à jour automatiques des logiciels sur les caisses, ordinateurs et équipements réseau
  • Un réseau wifi invité séparé pour les clients
  • Des sauvegardes régulièrement testées
  • Une formation de base du personnel sur le phishing et la fraude numérique
  • Un point de contact clair ou un partenaire IT fixe en cas d’incident

La cybersécurité ne doit pas être complexe ni extrêmement coûteuse, mais elle doit être abordée de manière structurelle. »

Quelles solutions Apogado propose-t-elle aux exploitants Horeca ?

« Nous accompagnons les entrepreneurs Horeca via une approche intégrée. Notre équipe se compose d’ingénieurs et de juristes ICT, ce qui nous permet de couvrir à la fois les aspects techniques et juridiques/compliance.

Nous réalisons un audit approfondi afin d’identifier les vulnérabilités, établissons un plan d’action réaliste et phasé, accompagnons la mise en œuvre concrète des mesures techniques et organisationnelles, soutenons les trajectoires RGPD, NIS2 et ISO, et assurons un suivi continu si nécessaire. Dans de nombreux cas, cette démarche peut bénéficier de la subvention de 50 % mentionnée ci-dessus via les programmes d’amélioration de la cybersécurité de la VLAIO.

Nous combinons sécurité technique, gouvernance et conformité, afin que les entrepreneurs soient non seulement mieux protégés, mais également en règle de manière démontrable avec la réglementation en vigueur.

Nous proposons également différentes sessions de formation et workshops. La cybersécurité n’est pas un investissement ponctuel, mais un processus continu. La formation permanente renforce considérablement la résilience », conclut Koert Van Espen.

Pour plus d’informations : www.apogado.com, www.coriotech.be et www.antwerphotelassociation.be

(dv)