Christophe Mazzola revient sur la cyberattaque qui touché 3 opérateurs du tourisme : Belambra, Maeva et Gîtes de France - Depositphotos.com Auteur denrud
Mi-mai, au moment où les familles bouclent leurs réservations d'été et où le secteur entre dans sa période la plus dense, un même attaquant a rappelé à l'hébergement de vacances une vérité qu'il préférait ne pas regarder en face. En soixante-douze heures, trois acteurs majeurs ont reconnu une fuite de données.
Le vendredi, Pierre & Vacances-Center Parcs, par sa plateforme « La France du Nord au Sud », filiale de la marque Maeva. Le samedi, Belambra et ses quarante-quatre clubs. Le dimanche, le réseau Gîtes de France.
Trois modèles économiques que tout sépare, réunis en un week-end par la même faiblesse et par le même mode opératoire.
A lire aussi : Belambra, Maeva et Gîtes de France... victimes d’une faille "basique" de cybersécurité
Le vendredi, Pierre & Vacances-Center Parcs, par sa plateforme « La France du Nord au Sud », filiale de la marque Maeva. Le samedi, Belambra et ses quarante-quatre clubs. Le dimanche, le réseau Gîtes de France.
Trois modèles économiques que tout sépare, réunis en un week-end par la même faiblesse et par le même mode opératoire.
A lire aussi : Belambra, Maeva et Gîtes de France... victimes d’une faille "basique" de cybersécurité
Ce qui a fuité, et ce que personne ne regarde
Chaque communiqué a tenu à mettre en avant la même chose : aucune donnée bancaire.
Pierre & Vacances précise même qu'aucune adresse e-mail n'aurait été collectée de son côté. Cette formule est devenue un réflexe de communication de crise, et c'est précisément là que se loge l'erreur d'appréciation.
Elle rassure sur le seul risque que le grand public sait nommer, la carte bleue, et détourne l'attention de ce qui a réellement été emporté.
Car le butin est ailleurs. Chez Gîtes de France, près de 389 000 clients sont concernés, sur des réservations qui remontent à 1995, et le lot comprendrait environ 360 000 enregistrements liés à des mineurs et à des enfants inscrits dans des dossiers de séjour.
Noms, dates de nuitées, e-mails, téléphones, adresses postales. Aucun numéro de carte, certes, mais tout le nécessaire pour fabriquer un message de phishing à la crédibilité parfaite. Quand le faux courriel cite la vraie date, le vrai lieu et le prénom réel de l'enfant, la vigilance de la victime ne pèse plus grand-chose.
Dans un secteur où la donnée personnelle est par nature familiale et étalée dans le temps, l'absence de coordonnées bancaires n'est pas une bonne nouvelle, c'est un trompe-l'œil.
Un secteur conçu pour servir de démonstration
L'élément le plus dérangeant n'est pas technique, il est politique. Le pirate n'a pas cherché à monétiser discrètement sa prise. Il a revendiqué son geste publiquement, en expliquant avoir agi pour démontrer, selon ses propres mots, à quel point la France est une passoire en matière de cybersécurité.
Autrement dit, ces trois entreprises n'ont pas affronté une opération criminelle sophistiquée. Elles ont servi de support à une démonstration. Et le choix du tourisme n'a rien d'un hasard.
Le secteur cumule les facteurs de risque que j'observe sur le terrain depuis des années. Des bases qui s'empilent depuis trois décennies sans que personne ne se demande pourquoi une réservation de 1995 existe encore.
A lire aussi : Maeva, Belambra, Gîtes de France... le tourisme frappé par des cyberattaques
Une sous-traitance informatique mutualisée, où plusieurs structures départementales partagent le même prestataire, donc la même faille. Une saisonnalité qui concentre l'activité, la pression et la baisse de garde sur les mêmes semaines.
Et une culture où la sécurité reste vécue comme une ligne de coût technique plutôt que comme une condition de la relation client.
Autrement dit, ces trois entreprises n'ont pas affronté une opération criminelle sophistiquée. Elles ont servi de support à une démonstration. Et le choix du tourisme n'a rien d'un hasard.
Le secteur cumule les facteurs de risque que j'observe sur le terrain depuis des années. Des bases qui s'empilent depuis trois décennies sans que personne ne se demande pourquoi une réservation de 1995 existe encore.
A lire aussi : Maeva, Belambra, Gîtes de France... le tourisme frappé par des cyberattaques
Une sous-traitance informatique mutualisée, où plusieurs structures départementales partagent le même prestataire, donc la même faille. Une saisonnalité qui concentre l'activité, la pression et la baisse de garde sur les mêmes semaines.
Et une culture où la sécurité reste vécue comme une ligne de coût technique plutôt que comme une condition de la relation client.
Le vrai scandale, ce sont les données qu'on n'aurait jamais dû conserver
Ce qui me frappe, ce n'est pas que ces attaques aient été possibles, c'est qu'elles étaient prévisibles. Le risque était identifié, sectoriel, documenté depuis des mois. Il manquait l'autre moitié de l'équation : la décision d'agir.
C'est ce que j'appelle l'écart de décision, ce delta structurel entre le moment où l'on sait et le moment où l'on tranche.
Une donnée de 1995 toujours exploitable en 2026 n'est pas un accident technique. C'est une décision de conservation qui n'a jamais été prise, donc jamais arbitrée, donc reconduite par défaut année après année. Le secteur a confondu mémoire commerciale et accumulation passive.
Or la donnée la mieux protégée est celle que l'on ne détient plus. La minimisation et la durée de conservation limitée ne sont pas des contraintes réglementaires à subir, ce sont des leviers de réduction de surface d'attaque : ce qui n'existe plus dans le système ne peut pas fuiter.
Trois décennies de réservations conservées « au cas où » se sont transformées, en un week-end, en trois décennies de responsabilité exposée.
C'est ce que j'appelle l'écart de décision, ce delta structurel entre le moment où l'on sait et le moment où l'on tranche.
Une donnée de 1995 toujours exploitable en 2026 n'est pas un accident technique. C'est une décision de conservation qui n'a jamais été prise, donc jamais arbitrée, donc reconduite par défaut année après année. Le secteur a confondu mémoire commerciale et accumulation passive.
Or la donnée la mieux protégée est celle que l'on ne détient plus. La minimisation et la durée de conservation limitée ne sont pas des contraintes réglementaires à subir, ce sont des leviers de réduction de surface d'attaque : ce qui n'existe plus dans le système ne peut pas fuiter.
Trois décennies de réservations conservées « au cas où » se sont transformées, en un week-end, en trois décennies de responsabilité exposée.
Déclarer la sécurité ne suffit plus, il faut pouvoir la prouver
Dans les semaines qui viennent, chaque acteur du secteur va affirmer qu'il prend la sécurité au sérieux. Le mot n'a plus aucune valeur. Tout le monde le dit, y compris ceux qui viennent de l'apprendre à leurs dépens.
Ce qui aura désormais de la valeur, c'est la capacité à le démontrer, de façon structurée, vérifiable et récurrente. C'est exactement la fonction d'un système de management de la sécurité de l'information.
Une démarche de type ISO 27001, ou ISO 27701 sur le volet spécifique des données personnelles, ne se résume pas à un logo sur un site. Conduite sérieusement, elle force précisément les décisions qui ont manqué ici : un inventaire des actifs et des données, une politique de conservation et de purge, un audit régulier des prestataires, un dispositif de réponse à incident éprouvé avant la crise et non pendant. Là est toute la différence entre la conformité et la résilience.
Un certificat obtenu puis oublié dans un tiroir reste du papier. Un système réellement opéré, avec sa boucle d'amélioration continue et ses revues de direction, transforme la sécurité en routine de gouvernance plutôt qu'en réaction de panique.
Pour un dirigeant du tourisme, l'enjeu se déplace donc. La question n'est plus seulement « suis-je protégé », elle devient « suis-je en mesure de prouver, à un client, à un partenaire, à la CNIL, que ma protection repose sur un système et non sur de la chance ».
Ce qui aura désormais de la valeur, c'est la capacité à le démontrer, de façon structurée, vérifiable et récurrente. C'est exactement la fonction d'un système de management de la sécurité de l'information.
Une démarche de type ISO 27001, ou ISO 27701 sur le volet spécifique des données personnelles, ne se résume pas à un logo sur un site. Conduite sérieusement, elle force précisément les décisions qui ont manqué ici : un inventaire des actifs et des données, une politique de conservation et de purge, un audit régulier des prestataires, un dispositif de réponse à incident éprouvé avant la crise et non pendant. Là est toute la différence entre la conformité et la résilience.
Un certificat obtenu puis oublié dans un tiroir reste du papier. Un système réellement opéré, avec sa boucle d'amélioration continue et ses revues de direction, transforme la sécurité en routine de gouvernance plutôt qu'en réaction de panique.
Pour un dirigeant du tourisme, l'enjeu se déplace donc. La question n'est plus seulement « suis-je protégé », elle devient « suis-je en mesure de prouver, à un client, à un partenaire, à la CNIL, que ma protection repose sur un système et non sur de la chance ».
La confiance numérique, nouvel actif du tourisme
Autres articles
-
Réservation piratée : ce qui se joue vraiment derrière la vague Booking-Vivaticket [ABO]
-
Vacancéole piratée : quand celui qui parle en votre nom vous expose en silence [ABO]
-
Conflit Moyen-Orient : derrière la crise aérienne, un risque cyber pour le tourisme [ABO]
-
Faux sites de réservation : la menace fantôme qui s'attaque à vos clients [ABO]
-
Ransomwares dans le tourisme : les sauvegardes ne vous sauveront plus [ABO]
Pendant des années, choisir une destination s'est résumé à arbitrer entre le prix, l'emplacement et les avis. Cette grille vieillit. À mesure que les fuites s'accumulent, une question plus discrète s'invite dans la décision du voyageur : l'acteur à qui je confie ma famille et mes informations sait-il les protéger ?
La solidité numérique d'un hébergeur devient un critère de choix, au même rang que la propreté d'une chambre ou la qualité d'une table.
Pour les professionnels, ce basculement est une menace pour les uns et une opportunité pour les autres. Ceux qui sauront démontrer leur posture, pièces à l'appui, en feront un argument commercial autant qu'une défense. Le pirate de la mi-mai voulait prouver que la France était une passoire.
Il a surtout rappelé que, dans le tourisme, la confiance ne se gagne plus seulement à l'arrivée des vacanciers. Elle se joue bien en amont, au moment où l'on clique sur « réserver ».
La solidité numérique d'un hébergeur devient un critère de choix, au même rang que la propreté d'une chambre ou la qualité d'une table.
Pour les professionnels, ce basculement est une menace pour les uns et une opportunité pour les autres. Ceux qui sauront démontrer leur posture, pièces à l'appui, en feront un argument commercial autant qu'une défense. Le pirate de la mi-mai voulait prouver que la France était une passoire.
Il a surtout rappelé que, dans le tourisme, la confiance ne se gagne plus seulement à l'arrivée des vacanciers. Elle se joue bien en amont, au moment où l'on clique sur « réserver ».
Qui est Christophe Mazzola ?
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
![Pourquoi la baisse du pétrole pourrait changer la donne sur le marché des devises [ABO]](https://www.tourmag.com/photo/art/large_16_9/96800003-67474365.jpg?v=1780306530 "Pourquoi la baisse du pétrole pourrait changer la donne sur le marché des devises [ABO]")
![Trois piratages en trois jours : pourquoi le tourisme va devoir prouver sa sécurité [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96802531-67476242.jpg?v=1780335082 "Trois piratages en trois jours : pourquoi le tourisme va devoir prouver sa sécurité [ABO]")
![Faut-il recruter des profils hors tourisme ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96767996-67458912.jpg?v=1780062944 "Faut-il recruter des profils hors tourisme ? [ABO]")
![Le tourisme face au climat : s'adapter ou subir ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96767656-67458666.jpg?v=1780292484 "Le tourisme face au climat : s'adapter ou subir ? [ABO]")
![Djerba la belle, la douce, la fidèle : quel avenir ? [ABO]](https://www.tourmag.com/photo/art/large_16_9/96736913-67433956.jpg?v=1779889761 "Djerba la belle, la douce, la fidèle : quel avenir ? [ABO]")
![Parcs aquatiques : un avenir en demi-teintes [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96620725-67350226.jpg?v=1779198407 "Parcs aquatiques : un avenir en demi-teintes [ABO]")
![Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96428639-67242289.jpg?v=1778086815 "Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]")
![Commentaires clients : un récit indispensable sur notre modernité [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96212796-67119062.jpg?v=1776949960 "Commentaires clients : un récit indispensable sur notre modernité [ABO]")
