Pour un pirate, accéder à un compte GDS, c’est comme obtenir un double des clés de votre agence de voyages - DepositPhotos.com, raccoondaydream
Phishing, mots de passe faibles, faux virements… Ces menaces, la plupart des agences de voyages commencent à identifier.
Mais il y a un point d’entrée que beaucoup oublient : leurs outils métier. Et notamment les GDS, ces systèmes de réservation sur lesquels repose une grande partie de l’activité.
Amadeus, Sabre, Galileo… Ces plateformes sont au cœur des opérations quotidiennes. Elles gèrent les réservations, les billets, les transactions.
On s’y connecte souvent plusieurs fois par jour, parfois sans y penser. Pourtant, ce sont aussi des portes d’entrée sensibles pour les cybercriminels.
Lire aussi : Phishing dans le tourisme : pourquoi vous êtes une cible facile
Mais il y a un point d’entrée que beaucoup oublient : leurs outils métier. Et notamment les GDS, ces systèmes de réservation sur lesquels repose une grande partie de l’activité.
Amadeus, Sabre, Galileo… Ces plateformes sont au cœur des opérations quotidiennes. Elles gèrent les réservations, les billets, les transactions.
On s’y connecte souvent plusieurs fois par jour, parfois sans y penser. Pourtant, ce sont aussi des portes d’entrée sensibles pour les cybercriminels.
Lire aussi : Phishing dans le tourisme : pourquoi vous êtes une cible facile
Un accès GDS vaut de l’or
Autres articles
-
Cybersécurité : pourquoi former vos équipes est un investissement vital
-
Phishing dans le tourisme : pourquoi vous êtes une cible facile
-
Cybersécurité : fraude au mail, TicketMaster… les vacanciers doivent être vigilants !
-
Cybersécurité : ransomware, phishing ou deepfake... la menace est partout ! 🔑
-
Les EDV lancent un atelier sur la cybermalveillance et la fraude
Pour un pirate, accéder à un compte GDS, c’est comme obtenir un double des clés de votre agence.
Il peut consulter les réservations, modifier des données, émettre de faux billets… ou simplement exploiter l’accès pour usurper votre identité auprès de partenaires ou clients.
Et la vérité, c’est que la sécurité de ces accès est souvent négligée. Pourquoi ? Parce qu’ils font partie du quotidien, et qu’on leur fait confiance par habitude :
• les mots de passe sont parfois partagés entre collègues ;
• l’identifiant reste ouvert sur un poste non verrouillé ;
• l’accès est conservé même après le départ d’un collaborateur ;
• l’authentification repose uniquement sur un login/mot de passe sans double vérification.
Rien de tout cela ne semble "grave"… jusqu’au jour où l’accès est détourné.
Il peut consulter les réservations, modifier des données, émettre de faux billets… ou simplement exploiter l’accès pour usurper votre identité auprès de partenaires ou clients.
Et la vérité, c’est que la sécurité de ces accès est souvent négligée. Pourquoi ? Parce qu’ils font partie du quotidien, et qu’on leur fait confiance par habitude :
• les mots de passe sont parfois partagés entre collègues ;
• l’identifiant reste ouvert sur un poste non verrouillé ;
• l’accès est conservé même après le départ d’un collaborateur ;
• l’authentification repose uniquement sur un login/mot de passe sans double vérification.
Rien de tout cela ne semble "grave"… jusqu’au jour où l’accès est détourné.
Sécuriser un outil qu’on utilise tous les jours
La cybersécurité ne concerne pas seulement les outils nouveaux ou exotiques. Elle commence avec ce que vous utilisez le plus.
Et dans le cas des GDS, quelques bonnes pratiques peuvent faire une vraie différence :
1. Utiliser des comptes utilisateurs distincts. Chaque collaborateur doit avoir son propre accès. Pas de compte "agence1" partagé à cinq. Cela permet de tracer les actions et de couper un accès en cas de doute.
2. Renforcer les mots de passe. Un GDS ne doit pas avoir le même mot de passe qu’un autre outil bureautique. Il faut des mots de passe longs, uniques, changés régulièrement si besoin (par exemple dans le cas d’un mot de passe partagé avec un collaborateur sur le départ).
3. Mettre en place un contrôle régulier des accès. Qui a accès à quoi ? Les comptes inutilisés sont-ils désactivés ? Faites un point chaque trimestre.
4. Sensibiliser l’équipe à l’importance de l’outil. Beaucoup n’imaginent pas qu’un accès GDS puisse être aussi critique. Il faut l’expliquer clairement.
Mais pour que tout cela soit plus concret, laissez-moi vous raconter une histoire vraie.
Il y a quelques mois, je travaillais avec un hacker éthique sur un audit pour un croisiériste. En moins de dix minutes, il a réussi à accéder à leur plateforme de réservation interne.
La faille ? Un ancien compte, oublié mais toujours actif, avec un mot de passe connu sur un forum. Une fois connecté, il a pu accéder à la base de données, consulter les réservations… et s’attribuer une suite grand luxe pour 1 euro, sans déclencher le moindre système d’alerte.
Pas besoin d’un virus. Pas besoin d’un "pirate génial". Juste un accès négligé.
Cette anecdote résume parfaitement le risque : quand les accès ne sont pas maîtrisés, ce n’est pas un détail. C’est une brèche. Et dans un univers où chaque plateforme métier donne potentiellement accès à des données sensibles ou à des fonctions critiques, il faut que chaque compte soit géré avec rigueur.
Et dans le cas des GDS, quelques bonnes pratiques peuvent faire une vraie différence :
1. Utiliser des comptes utilisateurs distincts. Chaque collaborateur doit avoir son propre accès. Pas de compte "agence1" partagé à cinq. Cela permet de tracer les actions et de couper un accès en cas de doute.
2. Renforcer les mots de passe. Un GDS ne doit pas avoir le même mot de passe qu’un autre outil bureautique. Il faut des mots de passe longs, uniques, changés régulièrement si besoin (par exemple dans le cas d’un mot de passe partagé avec un collaborateur sur le départ).
3. Mettre en place un contrôle régulier des accès. Qui a accès à quoi ? Les comptes inutilisés sont-ils désactivés ? Faites un point chaque trimestre.
4. Sensibiliser l’équipe à l’importance de l’outil. Beaucoup n’imaginent pas qu’un accès GDS puisse être aussi critique. Il faut l’expliquer clairement.
Mais pour que tout cela soit plus concret, laissez-moi vous raconter une histoire vraie.
Il y a quelques mois, je travaillais avec un hacker éthique sur un audit pour un croisiériste. En moins de dix minutes, il a réussi à accéder à leur plateforme de réservation interne.
La faille ? Un ancien compte, oublié mais toujours actif, avec un mot de passe connu sur un forum. Une fois connecté, il a pu accéder à la base de données, consulter les réservations… et s’attribuer une suite grand luxe pour 1 euro, sans déclencher le moindre système d’alerte.
Pas besoin d’un virus. Pas besoin d’un "pirate génial". Juste un accès négligé.
Cette anecdote résume parfaitement le risque : quand les accès ne sont pas maîtrisés, ce n’est pas un détail. C’est une brèche. Et dans un univers où chaque plateforme métier donne potentiellement accès à des données sensibles ou à des fonctions critiques, il faut que chaque compte soit géré avec rigueur.
Ne pas sous-estimer les risques "intermédiaires"
Les GDS ne sont pas les seuls concernés. Tous les outils métiers interconnectés (CRM, extranets hôteliers, plateformes de paiement, moteurs de recherche de vols…) méritent la même attention. Car plus vous multipliez les plateformes, plus vous ouvrez de potentielles portes.
Les agences n’ont pas besoin d’être expertes en sécurité pour bien faire. Mais elles ont besoin de regarder dans les bons coins. Et aujourd’hui, les GDS sont souvent un angle mort qu’il est urgent d’éclairer.
Lire aussi : Cybersécurité : pourquoi former vos équipes est un investissement vital
Les agences n’ont pas besoin d’être expertes en sécurité pour bien faire. Mais elles ont besoin de regarder dans les bons coins. Et aujourd’hui, les GDS sont souvent un angle mort qu’il est urgent d’éclairer.
Lire aussi : Cybersécurité : pourquoi former vos équipes est un investissement vital
Qui est Christophe Mazzola ?
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
![Bravo l’Espagne ! Entre Picasso, "movida" et Costa Brava [ABO]](https://www.tourmag.com/photo/art/large_16_9/90083692-63590380.jpg?v=1753276654 "Bravo l’Espagne ! Entre Picasso, \"movida\" et Costa Brava [ABO]")
