Skip to content
Secteurs

Cybersécurité pour la restauration et l'hôtellerie : protégez vos équipes contre le phishing

Vos équipes encaissent des paiements par carte, gèrent les données personnelles de vos clients et communiquent avec des dizaines de fournisseurs et plateformes de réservation. Les réseaux de franchises multiplient la surface d'attaque, et le turnover élevé du personnel laisse peu de temps à la formation.

Nous avons analysé les domaines email de 511 entreprises de votre secteur. 36 % ont un score de sécurité email de C ou pire.

Testez votre domaine gratuitement
13 min de lecture PCI DSS, RGPD

La restauration et l’hôtellerie dans le viseur des attaquants

Les restaurants, hôtels, chaînes de franchise et traiteurs traitent chaque jour des milliers de paiements par carte bancaire et collectent des données personnelles sensibles : noms, adresses email, numéros de téléphone, et pour les hôtels, copies de passeports et coordonnées bancaires complètes. Pour un attaquant, chaque établissement représente un accès direct à ces données monnayables.

Le secteur cumule plusieurs vulnérabilités structurelles. Les marges serrées limitent les budgets alloués à la sécurité informatique. Le turnover du personnel — parmi les plus élevés de tous les secteurs en France selon la DARES — signifie qu’une grande partie des employés n’a jamais été formée aux menaces numériques. Les réseaux de franchise multiplient les points d’entrée avec des niveaux de protection hétérogènes. Et le WiFi public, proposé comme service standard aux clients, ouvre une porte supplémentaire si le réseau est mal segmenté.

Les données de paiement : la cible principale

Chaque terminal de paiement (TPE), chaque système de caisse (POS) et chaque plateforme de réservation en ligne traite des données de carte bancaire. La série de violations qui a touché la chaîne hôtelière Marriott illustre l’ampleur du risque : la brèche révélée en 2018 a exposé les données de 500 millions de clients, incluant numéros de passeport et informations de paiement. L’attaque avait débuté en 2014 via le réseau Starwood, avant même le rachat par Marriott. Plus récemment, la FTC a imposé à Marriott un programme de sécurité renforcé sur 20 ans suite à trois brèches distinctes entre 2014 et 2020.

Le WiFi public : un vecteur sous-estimé

L’ANSSI met régulièrement en garde contre les risques liés aux réseaux WiFi ouverts. Dans un restaurant ou un hôtel, le WiFi client cohabite souvent avec le réseau utilisé par les terminaux de paiement et les postes de gestion. Un réseau mal segmenté permet à un attaquant connecté au WiFi invité de scanner le réseau interne, d’intercepter du trafic ou de cibler les postes de caisse. Le guide d’hygiène informatique de l’ANSSI recommande une séparation stricte entre réseau invité et réseau d’entreprise.

La franchise : un maillon faible démultiplié

Dans un réseau de franchise, chaque établissement est un point d’entrée potentiel. Le franchiseur impose souvent des logiciels communs (POS, gestion des stocks, CRM) mais la sécurité locale — mots de passe, mises à jour, formation du personnel — dépend du franchisé. Un seul établissement compromis peut servir de tremplin vers le réseau central. L’attaque contre la chaîne de restauration rapide Wendy’s en 2016 a touché plus de 1 000 points de vente via des malwares installés sur les systèmes POS, propagés à travers le réseau de franchise.

Ce que disent les chiffres

Notre analyse : 511 entreprises de la restauration et de l’hôtellerie passées au crible

Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 511 entreprises du secteur restauration et hôtellerie en France. Le constat : 36 % obtiennent un score de C ou pire. Cela signifie que plus d’un tiers des restaurants, hôtels et chaînes de franchise analysés présentent des failles dans leurs protections email qui facilitent l’usurpation de leur identité par des attaquants. Un domaine mal configuré en DMARC ou en SPF permet à n’importe qui d’envoyer des emails en se faisant passer pour votre établissement — un vecteur direct de phishing auprès de vos clients, fournisseurs et employés.

Les violations dans le secteur

Le secteur de l’hébergement et de la restauration figure parmi les industries les plus touchées par les violations de données. Le Verizon 2024 Data Breach Investigations Report classe le secteur « Accommodation and Food Services » parmi ceux où les intrusions système et le social engineering représentent la majorité des incidents. Selon ce rapport, 93 % des brèches dans le secteur impliquent des données de paiement.

Les cas documentés confirment cette tendance :

Le coût moyen d’une violation de données dans le secteur de l’hébergement atteint 3,36 millions de dollars selon le rapport IBM Cost of a Data Breach 2024. Pour un restaurant ou un hôtel indépendant, un seul incident de compromission de données de paiement peut entraîner des pénalités PCI DSS, une notification obligatoire à la CNIL dans les 72 heures et la perte de la capacité à accepter les cartes bancaires.

Les attaques qui visent votre secteur

Les attaquants adaptent leurs scénarios aux habitudes et aux outils du secteur. Voici les attaques les plus fréquentes contre les restaurants et les hôtels.

Fausses notifications de plateforme de réservation

Un email imitant Booking.com, TheFork (LaFourchette), Expedia ou Airbnb signale un problème avec une réservation ou une vérification de compte urgente. Le lien redirige vers une page de connexion contrefaite. Ce scénario fonctionne car les équipes de réception traitent des dizaines de notifications de ce type chaque jour et sont conditionnées à réagir vite pour ne pas perdre une réservation.

Fausses demandes de mise à jour POS

Un email prétendument envoyé par le fournisseur du terminal de paiement demande d’installer une « mise à jour de sécurité urgente » ou de « reconfigurer le terminal suite à un changement PCI DSS ». Le lien télécharge un malware ou demande les identifiants d’administration du système. L’attaque contre Wendy’s mentionnée plus haut a utilisé ce type de vecteur pour installer des logiciels de capture de données sur les POS.

Fausses factures fournisseurs

Les restaurants travaillent avec de nombreux fournisseurs alimentaires et de boissons. Les attaquants envoient de fausses factures imitant un fournisseur régulier avec des coordonnées bancaires modifiées. C’est une forme de BEC (Business Email Compromise) classique, rendue crédible par la reprise du logo, du format de facturation et des références habituelles. Le FBI IC3 a mesuré 2,9 milliards de dollars de pertes liées au BEC en 2023 aux seuls États-Unis.

Faux courriers d’autorités sanitaires ou d’hygiène

Un email imitant la DDPP (Direction Départementale de la Protection des Populations) ou l’ARS (Agence Régionale de Santé) annonce un contrôle d’hygiène et demande de télécharger un formulaire ou de se connecter à un portail pour consulter un rapport d’inspection. La restauration, soumise à des contrôles sanitaires réguliers, est vulnérable à ce type de pretexting. La peur d’une fermeture administrative pousse à cliquer sans vérifier.

Phishing via le WiFi de l’établissement

Un attaquant connecté au WiFi de l’établissement peut déployer un portail captif contrefait qui imite la page de connexion du réseau. Les employés qui se connectent au WiFi via ce faux portail transmettent leurs identifiants. Sur un réseau mal segmenté, l’attaquant peut ensuite accéder aux systèmes internes. L’ANSSI recommande l’utilisation de protocoles d’authentification forte pour les réseaux d’entreprise, même dans les petites structures.

Usurpation d’identité visant les clients

Les attaquants exploitent les domaines email mal configurés (sans DMARC en mode « reject ») pour envoyer des emails de phishing en se faisant passer pour l’établissement. Fausses confirmations de réservation avec un lien de paiement piégé, faux programmes de fidélité, fausses enquêtes de satisfaction — les clients transmettent leurs coordonnées bancaires à un attaquant. Le spoofing de domaine nuit à la réputation de l’établissement et peut engager sa responsabilité vis-à-vis du RGPD.

PCI DSS, RGPD et vos obligations

Le secteur de la restauration et de l’hôtellerie est soumis à deux cadres réglementaires principaux en matière de cybersécurité : PCI DSS pour les données de paiement et RGPD pour les données personnelles.

PCI DSS : la norme pour les paiements par carte

Le standard PCI DSS (Payment Card Industry Data Security Standard) s’applique à toute entité qui stocke, traite ou transmet des données de carte bancaire. Un restaurant avec un seul TPE est concerné au même titre qu’une chaîne de 200 établissements.

L’exigence 12.6 de PCI DSS v4.0 impose un programme de sensibilisation à la sécurité :

Le personnel doit être formé aux menaces de sécurité et à l’importance de la protection des données de carte bancaire. Un programme de sensibilisation doit être mis en place dès l’embauche et renouvelé au moins une fois par an.

Pour le secteur de la restauration, cela implique :

  • Une formation initiale pour chaque nouvel employé ayant accès aux systèmes de paiement
  • Un renouvellement annuel de la sensibilisation, documenté et traçable
  • Des tests réguliers pour vérifier que les collaborateurs identifient les tentatives de phishing ciblant les systèmes POS
  • La gestion des accès aux terminaux de paiement et aux systèmes de back-office

Le non-respect de PCI DSS expose à des amendes allant de 5 000 à 100 000 dollars par mois et, dans les cas graves, au retrait de la capacité à accepter les paiements par carte — une sanction qui équivaut à la fermeture pour un restaurant.

RGPD : la protection des données clients et employés

Le RGPD protège les données personnelles que vous collectez : noms des clients, coordonnées, historiques de réservation, données de fidélité, et pour les hôtels, copies de pièces d’identité et numéros de passeport. Les données de vos employés (coordonnées, fiches de paie, plannings) sont également couvertes.

En cas de violation de données consécutive à un phishing réussi :

  • Notification à la CNIL dans les 72 heures suivant la découverte de l’incident
  • Notification aux personnes concernées si la violation présente un risque élevé pour leurs droits
  • Sanctions pouvant atteindre 4 % du chiffre d’affaires annuel ou 20 millions d’euros

La CNIL a publié des recommandations spécifiques pour le secteur de l’hôtellerie concernant la collecte de données des clients, la durée de conservation et les mesures de sécurité attendues.

Recommandations ANSSI pour les TPE-PME

L’ANSSI publie un guide de cybersécurité pour les TPE-PME applicable au secteur. Ce guide couvre la sécurisation du WiFi, la gestion des mots de passe, la séparation des réseaux et la sensibilisation du personnel — des mesures qui répondent simultanément aux exigences PCI DSS et RGPD.

Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.

Des scénarios de simulation adaptés à la restauration

Les simulations de phishing génériques ne reflètent pas les menaces réelles qui visent votre secteur. Les attaquants utilisent des prétextes métier que vos équipes rencontrent au quotidien. Vos simulations doivent reproduire ces mêmes prétextes. Voici les scénarios que nous déployons pour la restauration et l’hôtellerie :

Faux email de plateforme de réservation

Un email imitant Booking.com ou TheFork signale un litige client, une modification de réservation urgente ou un changement dans les conditions de commission. Le lien redirige vers un faux portail de connexion. Ce scénario teste la capacité des équipes de réception et de réservation à vérifier l’URL avant de saisir leurs identifiants. Les établissements qui dépendent fortement des plateformes de réservation en ligne sont particulièrement sensibles à ce vecteur.

Fausse notification de livraison fournisseur

Un email imite un grossiste alimentaire ou un livreur (Métro, Brake, Sysco) et signale un problème avec une commande en cours. Le message contient un lien vers un bon de livraison ou un avoir à télécharger. Le fichier joint contient un malware ou le lien mène à une page de collecte d’identifiants. Ce scénario cible les responsables des achats et les gérants qui gèrent les commandes fournisseurs.

Fausse communication du siège de franchise

Pour les réseaux de franchise, un email imitant la direction du réseau annonce un changement de procédure, une mise à jour du logiciel de caisse ou un nouveau protocole de sécurité. Le message demande de télécharger un document ou de se connecter à un portail interne. Ce scénario exploite la relation hiérarchique entre franchiseur et franchisé, où les instructions du siège sont rarement remises en question.

Faux email d’autorité sanitaire

Un email imitant la DDPP ou l’ARS annonce un contrôle d’hygiène planifié et demande de télécharger un formulaire de préparation ou de confirmer des informations via un portail en ligne. Le scénario utilise le levier de la peur : dans un secteur où un mauvais résultat de contrôle peut entraîner une fermeture temporaire, le réflexe est de coopérer immédiatement. Ce scénario teste la capacité des gérants à vérifier la légitimité d’un email avant d’agir.

Fausse alerte de mise à jour du terminal de paiement

Un email prétendument envoyé par le prestataire de paiement (Zettle, SumUp, Worldline) demande une reconfiguration du terminal ou une mise à jour logicielle urgente. L’email contient un lien ou une pièce jointe malveillante. Ce scénario cible le personnel de caisse et les gérants qui administrent les systèmes de paiement.

Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de vidéo de 45 minutes, pas de quiz générique : un retour contextuel et immédiat sur l’erreur commise, adapté au contexte de la restauration.

Protéger votre établissement

La protection contre le phishing dans un restaurant ou un hôtel suit quatre étapes progressives.

Étape 1 : Auditer votre sécurité email

Avant de former les équipes, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en votre nom — y compris de fausses confirmations de réservation à vos clients. Nos données montrent que 36 % des entreprises du secteur analysées présentent des configurations insuffisantes.

Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.

Étape 2 : Lancer une simulation de référence

La première campagne de simulation de phishing établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au secteur — fausses notifications Booking, faux emails fournisseurs, fausses alertes sanitaires — pour mesurer la vulnérabilité réelle de vos équipes. Avec un turnover élevé, cette mesure initiale doit être renouvelée à chaque vague de recrutement.

Étape 3 : Former par micro-learning contextuel

Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Ce format court est adapté aux contraintes du secteur : un serveur ou un réceptionniste ne peut pas quitter son poste une heure pour une formation. Les gérants et directeurs reçoivent des scénarios adaptés aux attaques qui les ciblent : BEC, fausses factures avec changement de RIB, spear phishing ciblé.

Étape 4 : Documenter la conformité PCI DSS et RGPD

Chaque campagne produit automatiquement les métriques attendues par PCI DSS (exigence 12.6) et le RGPD : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports permettent de prouver votre conformité lors d’un audit PCI DSS ou d’un contrôle CNIL. Les données sont exportables en un clic pour vos auditeurs.

Votre domaine email est-il protégé contre l’usurpation d’identité ? 36 % des entreprises de la restauration et de l’hôtellerie que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.

Questions fréquentes

Pourquoi les restaurants et hôtels sont-ils ciblés par le phishing ?

Le secteur concentre trois facteurs attractifs pour les attaquants : un volume élevé de paiements par carte bancaire, des données personnelles clients en masse (noms, coordonnées, numéros de passeport pour les hôtels) et un turnover du personnel qui limite la formation continue. Un seul terminal compromis ou un clic sur un email piégé peut exposer les données de milliers de clients.

Un restaurant indépendant est-il vraiment concerné par PCI DSS ?

Oui. PCI DSS s'applique à toute entité qui stocke, traite ou transmet des données de carte bancaire, quelle que soit sa taille. Un restaurant de quartier avec un TPE est soumis à la norme au même titre qu'une chaîne hôtelière. Le niveau de conformité (SAQ A, SAQ B, etc.) varie selon le volume de transactions, mais l'obligation s'applique à tous.

Quels scénarios de phishing visent la restauration et l'hôtellerie ?

Les attaques les plus fréquentes sont les fausses notifications de plateformes de réservation (Booking, TheFork), les faux emails de mise à jour de terminal de paiement, les fausses factures de fournisseurs alimentaires avec un changement de RIB, et les faux courriers d'autorités sanitaires demandant de se connecter à un portail. Ces scénarios exploitent les flux quotidiens du secteur.

Comment sensibiliser des équipes avec un fort turnover sans perturber le service ?

Les simulations de phishing arrivent dans les boîtes mail comme des emails ordinaires, sans interrompre le service. Quand un collaborateur clique sur un lien piégé, il reçoit un micro-module de formation de 3 à 5 minutes sur son poste ou son smartphone. Les campagnes peuvent être programmées en dehors des coups de feu (déjeuner, dîner, week-ends).

Le WiFi public de mon établissement représente-t-il un risque cyber ?

Oui. Un WiFi client mal segmenté peut donner accès au réseau interne de l'établissement, y compris aux terminaux de paiement et aux postes de gestion. L'ANSSI recommande de séparer strictement le réseau WiFi invité du réseau d'entreprise et de ne jamais partager les mêmes identifiants entre les deux.

Combien coûte une violation de données pour un restaurant ou un hôtel ?

Le coût moyen d'une violation de données dans le secteur de l'hébergement et de la restauration atteint 3,36 millions de dollars selon le rapport IBM 2024. Pour un établissement français, les sanctions CNIL peuvent atteindre 4 % du chiffre d'affaires annuel. S'ajoutent la perte de confiance des clients, les coûts de remédiation et les pénalités PCI DSS pouvant aller jusqu'au retrait de la capacité à accepter les paiements par carte.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Tous les secteurs