Un hôtel dépend de son PMS, de ses moteurs de réservation, des serrures, des paiements, du wifi, des channel managers, de la téléphonie et de prestataires externes. L'ISO/IEC 27001 permet de piloter ces risques via un système de management fondé sur le périmètre, les risques, les mesures, les incidents, la continuité et l'amélioration. Se certifier ne consiste pas à protéger uniquement le serveur : il faut inclure les dépendances qui font tourner l'exploitation et les données des clients.
Définir le périmètre
Le périmètre peut couvrir un ou plusieurs hôtels et des services centraux. Il doit inclure les interfaces critiques :
- PMS.
- Site web et moteur de réservation.
- Channel manager.
- TPV et paiements.
- Wifi.
- Serrures et vidéosurveillance.
- Messagerie et Microsoft 365.
- Sauvegardes.
- Prestataires de support.
- Systèmes du groupe.
Une dépendance n'est pas exclue au seul motif qu'elle est en SaaS.
Actifs et processus
| Processus | Actifs |
|---|---|
| Réservation | Données, site, moteur et messagerie. |
| Arrivée | PMS, documents et bornes. |
| Séjour | Clés, wifi, charges et préférences. |
| Paiement | TPV, passerelle et rapprochement. |
| Exploitation | Housekeeping, maintenance et prestataires. |
| Départ | Facture, fidélisation et conservation. |
L'inventaire relie propriétaire, localisation, classification, dépendance et récupération.
Risques spécifiques
- Phishing avec de vraies réservations.
- Ransomware du PMS.
- Comptes de plateforme compromis.
- Malware sur le TPV.
- Wifi mal segmenté.
- Serrures ou IoT vulnérables.
- Sauvegardes connectées au domaine.
- Prestataire avec accès permanent.
- Usurpation lors des changements bancaires.
- Fuite de documents des clients.
L'analyse tient compte de la haute saison et du fonctionnement 24 h/24.
Identité et accès
- Comptes nominatifs.
- MFA pour l'administration et l'accès distant.
- Rôles par fonction.
- Désactivation immédiate.
- Revues périodiques.
- Accès temporaire des prestataires.
- Verrouillage des postes.
- Séparation des paiements.
La réception n'a pas besoin de privilèges système, et le support ne doit pas utiliser de comptes génériques.
PMS et réservations
Les permissions, exports, API, intégrations et journaux sont examinés. Les rapports téléchargés sur le poste de travail sont un risque récurrent.
Les informations client sont limitées, et les données des documents sont traitées selon l'obligation légale et la minimisation. Les intégrations avec les channel managers doivent utiliser des identifiants restreints et rotatifs.
Paiements
L'ISO 27001 ne remplace pas la norme PCI DSS. Le périmètre doit minimiser les données de carte et recourir à des prestataires adaptés. Les données complètes de carte ne sont pas stockées dans les notes du PMS ni dans les e-mails.
Les remboursements et les changements de compte requièrent un double contrôle.
Réseaux et wifi
Séparer :
- Clients.
- Administration.
- TPV.
- IoT/serrures.
- Caméras.
- Prestataires.
Le portail client ne donne pas accès au réseau interne. Les équipements sont surveillés et le firmware est tenu à jour.
Prestataires
Pour le PMS, le cloud, les réservations, la blanchisserie connectée, la maintenance ou la sécurité :
- Criticité.
- Contrat et SLA.
- Accès.
- Incidents.
- Sous-traitants.
- Continuité.
- Sécurité.
- Sortie.
Un certificat du prestataire doit être vérifié quant à son périmètre et sa validité.
Sauvegardes et ransomware
La stratégie inclut des sauvegardes séparées, immuables le cas échéant, chiffrées et testées par restauration. Le RTO/RPO est défini pour le PMS, les réservations, la facturation et les serrures.
Le mode dégradé doit permettre de fonctionner sans improviser de feuilles contenant des données excessives.
Continuité
Scénarios :
- PMS en panne.
- Internet indisponible.
- Passerelle de paiement en panne.
- Serrures hors service.
- Ransomware.
- Prestataire critique en panne.
- Évacuation ou indisponibilité physique.
Chaque plan précise les responsables, les données minimales, la communication, la récupération et le rapprochement ultérieur.
Gestion des incidents
Un canal 24 h/24, une classification, un confinement, des preuves et une communication sont mis en place. Un incident peut déclencher le RGPD, des obligations contractuelles, des assurances ou des autorités.
Des exercices sont menés avec la réception, la direction, l'IT et les prestataires.
Données personnelles
L'ISO 27001 soutient la sécurité, mais ne démontre pas à elle seule la conformité au RGPD. Il faut des bases légales, une information, une conservation et des droits. L'ISO/IEC 27701 peut être intégrée si cela est pertinent.
Déclaration d'applicabilité
La DdA sélectionne les mesures de l'annexe A et justifie leur inclusion ou exclusion selon les risques. Elle doit correspondre à l'exploitation réelle.
Exemples de preuves :
- Politique.
- Matrice des accès.
- Segmentation.
- Journaux.
- Correctifs.
- Sauvegardes.
- Tests.
- Contrats.
- Formation.
- Incidents.
Formation
Réception, réservations, administration et maintenance font face à des menaces différentes. La formation couvre le phishing, les appels frauduleux, les documents, les paiements, les clés et l'escalade.
La compétence se mesure par des simulations, pas seulement par la présence.
Plan à 120 jours
Jours 1-30
Périmètre, actifs, processus et écart.
Jours 31-60
Risques, DdA, accès et prestataires.
Jours 61-90
Mesures, continuité, incidents et formation.
Jours 91-120
Audit interne, corrections et revue de direction.
Erreurs fréquentes
- Limiter le périmètre à l'IT.
- Ignorer le SaaS.
- Mélanger wifi et administration.
- Partager les comptes de réception.
- Maintenir l'accès des prestataires.
- Ne pas restaurer les sauvegardes.
- Conserver les cartes dans des notes.
- Manquer de mode dégradé.
- Confondre ISO et RGPD.
- Certifier avant que les mesures fonctionnent.
Checklist
- Périmètre et dépendances.
- Actifs et risques.
- Identité et MFA.
- Segmentation réseau.
- PMS et intégrations.
- Paiements et données.
- Prestataires.
- Sauvegardes et restauration.
- Continuité et incidents.
- DdA, audit et direction.
Questions fréquentes
L'ISO 27001 est-elle réservée aux grandes chaînes ?
Non. Le système s'adapte à la taille et au risque. Le périmètre doit rester maintenable.
Couvre-t-elle les données de carte ?
Elle aide à piloter la sécurité, mais la norme PCI DSS et les règles de paiement s'appliquent toujours.
Certifier le prestataire certifie-t-il l'hôtel ?
Non. Les responsabilités et les configurations de l'hôtel restent dans son propre périmètre.
Summum Calidad peut accompagner le périmètre, l'analyse des risques, la DdA, la mise en œuvre et l'audit interne, afin que la certification reflète l'exploitation réelle de l'hôtel et protège en continu les données de ses clients.