ISO 27001 dans les hôtels : données et continuité

·

Un hôtel dépend de son PMS, de ses moteurs de réservation, des serrures, des paiements, du wifi, des channel managers, de la téléphonie et de prestataires externes. L'ISO/IEC 27001 permet de piloter ces risques via un système de management fondé sur le périmètre, les risques, les mesures, les incidents, la continuité et l'amélioration. Se certifier ne consiste pas à protéger uniquement le serveur : il faut inclure les dépendances qui font tourner l'exploitation et les données des clients.

Définir le périmètre

Le périmètre peut couvrir un ou plusieurs hôtels et des services centraux. Il doit inclure les interfaces critiques :

Une dépendance n'est pas exclue au seul motif qu'elle est en SaaS.

Actifs et processus

Processus Actifs
Réservation Données, site, moteur et messagerie.
Arrivée PMS, documents et bornes.
Séjour Clés, wifi, charges et préférences.
Paiement TPV, passerelle et rapprochement.
Exploitation Housekeeping, maintenance et prestataires.
Départ Facture, fidélisation et conservation.

L'inventaire relie propriétaire, localisation, classification, dépendance et récupération.

Risques spécifiques

L'analyse tient compte de la haute saison et du fonctionnement 24 h/24.

Identité et accès

La réception n'a pas besoin de privilèges système, et le support ne doit pas utiliser de comptes génériques.

PMS et réservations

Les permissions, exports, API, intégrations et journaux sont examinés. Les rapports téléchargés sur le poste de travail sont un risque récurrent.

Les informations client sont limitées, et les données des documents sont traitées selon l'obligation légale et la minimisation. Les intégrations avec les channel managers doivent utiliser des identifiants restreints et rotatifs.

Paiements

L'ISO 27001 ne remplace pas la norme PCI DSS. Le périmètre doit minimiser les données de carte et recourir à des prestataires adaptés. Les données complètes de carte ne sont pas stockées dans les notes du PMS ni dans les e-mails.

Les remboursements et les changements de compte requièrent un double contrôle.

Réseaux et wifi

Séparer :

Le portail client ne donne pas accès au réseau interne. Les équipements sont surveillés et le firmware est tenu à jour.

Prestataires

Pour le PMS, le cloud, les réservations, la blanchisserie connectée, la maintenance ou la sécurité :

Un certificat du prestataire doit être vérifié quant à son périmètre et sa validité.

Sauvegardes et ransomware

La stratégie inclut des sauvegardes séparées, immuables le cas échéant, chiffrées et testées par restauration. Le RTO/RPO est défini pour le PMS, les réservations, la facturation et les serrures.

Le mode dégradé doit permettre de fonctionner sans improviser de feuilles contenant des données excessives.

Continuité

Scénarios :

Chaque plan précise les responsables, les données minimales, la communication, la récupération et le rapprochement ultérieur.

Gestion des incidents

Un canal 24 h/24, une classification, un confinement, des preuves et une communication sont mis en place. Un incident peut déclencher le RGPD, des obligations contractuelles, des assurances ou des autorités.

Des exercices sont menés avec la réception, la direction, l'IT et les prestataires.

Données personnelles

L'ISO 27001 soutient la sécurité, mais ne démontre pas à elle seule la conformité au RGPD. Il faut des bases légales, une information, une conservation et des droits. L'ISO/IEC 27701 peut être intégrée si cela est pertinent.

Déclaration d'applicabilité

La DdA sélectionne les mesures de l'annexe A et justifie leur inclusion ou exclusion selon les risques. Elle doit correspondre à l'exploitation réelle.

Exemples de preuves :

Formation

Réception, réservations, administration et maintenance font face à des menaces différentes. La formation couvre le phishing, les appels frauduleux, les documents, les paiements, les clés et l'escalade.

La compétence se mesure par des simulations, pas seulement par la présence.

Plan à 120 jours

Jours 1-30

Périmètre, actifs, processus et écart.

Jours 31-60

Risques, DdA, accès et prestataires.

Jours 61-90

Mesures, continuité, incidents et formation.

Jours 91-120

Audit interne, corrections et revue de direction.

Erreurs fréquentes

  1. Limiter le périmètre à l'IT.
  2. Ignorer le SaaS.
  3. Mélanger wifi et administration.
  4. Partager les comptes de réception.
  5. Maintenir l'accès des prestataires.
  6. Ne pas restaurer les sauvegardes.
  7. Conserver les cartes dans des notes.
  8. Manquer de mode dégradé.
  9. Confondre ISO et RGPD.
  10. Certifier avant que les mesures fonctionnent.

Checklist

Questions fréquentes

L'ISO 27001 est-elle réservée aux grandes chaînes ?

Non. Le système s'adapte à la taille et au risque. Le périmètre doit rester maintenable.

Couvre-t-elle les données de carte ?

Elle aide à piloter la sécurité, mais la norme PCI DSS et les règles de paiement s'appliquent toujours.

Certifier le prestataire certifie-t-il l'hôtel ?

Non. Les responsabilités et les configurations de l'hôtel restent dans son propre périmètre.

Summum Calidad peut accompagner le périmètre, l'analyse des risques, la DdA, la mise en œuvre et l'audit interne, afin que la certification reflète l'exploitation réelle de l'hôtel et protège en continu les données de ses clients.