Vacancéole n'est pas un cas isolé. C'est un cas exemplaire - DepositPhotos.com, Gorodenkoff
Il est 22h un mardi de mars. Quelque part dans un datacenter dont vous ignorez l'existence, un processus tourne depuis quatre jours. Il ne fait pas de bruit. Il ne bloque rien. Il ne demande rien.
Il copie. Des noms, des prénoms, des numéros de téléphone, des adresses e-mail, des dates de séjour, des montants de réservation.
Des milliers de lignes qui racontent chacune la même histoire : quelqu'un, quelque part en France, a choisi une résidence de vacances, a rempli un formulaire, a cliqué sur « confirmer ». Et a continué sa journée sans se douter que cette confirmation voyageait déjà bien au-delà de Vacancéole.
Car ce n'est pas Vacancéole qui a été percée. C'est un prestataire technique.
Un de ces partenaires dont le nom n'apparaît nulle part sur le site, nulle part dans la confirmation de réservation, nulle part dans l'esprit du client. Et pourtant, ce partenaire avait accès à tout.
Parce que pour fonctionner, pour envoyer vos confirmations, pour gérer vos dossiers, pour traiter vos données, il parlait au nom de Vacancéole. Il envoyait des e-mails au nom de Vacancéole. Il stockait vos informations au nom de Vacancéole. Aux yeux du client, il était Vacancéole.
C'est là que se joue toute l'affaire. Pas dans la technique de l'intrusion. Pas dans la liste des données compromises. Mais dans cette réalité que le tourisme français refuse encore de regarder en face : chaque prestataire à qui vous donnez le droit de parler en votre nom porte votre réputation.
Et quand il tombe, c'est votre nom qui apparaît dans les notifications de la CNIL. C'est votre marque que le client associe à la fuite. C'est votre crédibilité qui s'effrite, pas celle d'un sous-traitant dont personne ne connaît l'existence.
Il copie. Des noms, des prénoms, des numéros de téléphone, des adresses e-mail, des dates de séjour, des montants de réservation.
Des milliers de lignes qui racontent chacune la même histoire : quelqu'un, quelque part en France, a choisi une résidence de vacances, a rempli un formulaire, a cliqué sur « confirmer ». Et a continué sa journée sans se douter que cette confirmation voyageait déjà bien au-delà de Vacancéole.
Car ce n'est pas Vacancéole qui a été percée. C'est un prestataire technique.
Un de ces partenaires dont le nom n'apparaît nulle part sur le site, nulle part dans la confirmation de réservation, nulle part dans l'esprit du client. Et pourtant, ce partenaire avait accès à tout.
Parce que pour fonctionner, pour envoyer vos confirmations, pour gérer vos dossiers, pour traiter vos données, il parlait au nom de Vacancéole. Il envoyait des e-mails au nom de Vacancéole. Il stockait vos informations au nom de Vacancéole. Aux yeux du client, il était Vacancéole.
C'est là que se joue toute l'affaire. Pas dans la technique de l'intrusion. Pas dans la liste des données compromises. Mais dans cette réalité que le tourisme français refuse encore de regarder en face : chaque prestataire à qui vous donnez le droit de parler en votre nom porte votre réputation.
Et quand il tombe, c'est votre nom qui apparaît dans les notifications de la CNIL. C'est votre marque que le client associe à la fuite. C'est votre crédibilité qui s'effrite, pas celle d'un sous-traitant dont personne ne connaît l'existence.
Le fantôme dans la chaîne
Vacancéole n'est pas un cas isolé. C'est un cas exemplaire.
En quelques mois, Vaucluse Provence Attractivité, Homair, Belambra Clubs ont vécu le même scénario.
À chaque fois, l'attaque passe par un prestataire. À chaque fois, c'est la marque visible qui prend le coup. Et à chaque fois, le secteur s'étonne, comme si la leçon précédente n'avait pas eu lieu.
La structure du tourisme locatif rend ce schéma inévitable.
Une résidence de vacances en 2026, ce n'est plus un bâtiment avec un accueil et un registre. C'est un nœud dans un réseau : logiciel de réservation, channel manager qui distribue les disponibilités sur cinq plateformes simultanément, CRM, outil d'e-mailing, passerelle de paiement, parfois un chatbot, parfois un module d'avis clients.
Chacun de ces outils accède à vos données. Chacun envoie des messages en votre nom. Chacun est un ambassadeur que vous n'avez jamais présenté à vos clients mais qui les contacte comme s'il était vous.
Et voilà le paradoxe : plus un acteur du tourisme se digitalise, plus il se modernise, plus il multiplie les portes d'entrée qu'il ne surveille pas. Non par négligence, mais parce que le modèle économique l'impose.
Peu de résidences ont les moyens d'internaliser leur stack technique. Elles font donc ce que tout le monde fait : elles délèguent. Et en déléguant la technique, elles délèguent sans le dire la confiance que le client leur accorde.
Le moment où le vacancier baisse la garde
Imaginez la scène. Nous sommes fin mai. Vous avez réservé deux semaines en juillet, résidence avec piscine, vue sur la garrigue.
Vous recevez un e-mail. Objet : « Dossier n°48712, complément à régler avant le 5 juin. » Le numéro de dossier est le bon. Les dates sont les bonnes. Le montant est cohérent. Le logo est là.
Vous êtes dans l'élan du départ, vous pensez déjà aux valises, au trajet, à la liste de courses pour le premier soir. Votre cerveau ne cherche pas l'anomalie. Il cherche la confirmation. Et il la trouve, parce que l'attaquant a exactement les informations qu'il faut pour vous la donner.
C'est toute la mécanique de l'ingénierie sociale en 2026. On n'a plus besoin de ransomware. On n'a plus besoin de bloquer un système pour extorquer de l'argent.
Il suffit d'écouter en silence, de collecter ce qui passe, et de s'en servir plus tard pour devenir, aux yeux de la victime, un interlocuteur légitime.
Le prestataire avait le droit de parler au nom de Vacancéole. L'attaquant, en volant ses données, a hérité de ce droit.
Vous recevez un e-mail. Objet : « Dossier n°48712, complément à régler avant le 5 juin. » Le numéro de dossier est le bon. Les dates sont les bonnes. Le montant est cohérent. Le logo est là.
Vous êtes dans l'élan du départ, vous pensez déjà aux valises, au trajet, à la liste de courses pour le premier soir. Votre cerveau ne cherche pas l'anomalie. Il cherche la confirmation. Et il la trouve, parce que l'attaquant a exactement les informations qu'il faut pour vous la donner.
C'est toute la mécanique de l'ingénierie sociale en 2026. On n'a plus besoin de ransomware. On n'a plus besoin de bloquer un système pour extorquer de l'argent.
Il suffit d'écouter en silence, de collecter ce qui passe, et de s'en servir plus tard pour devenir, aux yeux de la victime, un interlocuteur légitime.
Le prestataire avait le droit de parler au nom de Vacancéole. L'attaquant, en volant ses données, a hérité de ce droit.
La réputation ne se sous-traite pas
Les professionnels du tourisme qui lisent ces lignes connaissent la chanson des audits fournisseurs, des clauses contractuelles, des attestations de conformité. Ce n'est pas de cela dont il s'agit ici.
La vraie question est plus inconfortable : à combien d'entreprises avez-vous donné le pouvoir de parler à vos clients en votre nom, et parmi celles-là, combien pourriez-vous appeler ce soir pour leur demander exactement qui a accès à quoi dans leur infrastructure ?
Vacancéole a bien réagi. Notification rapide, communication transparente, collaboration immédiate avec la CNIL et l'ANSSI. C'est le signe d'une organisation qui avait anticipé le scénario.
Mais la meilleure gestion de crise du monde ne répare pas ce qui se joue dans la tête d'un client qui découvre que ses données de vacances circulent quelque part, entre les mains de quelqu'un qu'il n'a jamais choisi de contacter.
Ce client ne fera pas de réclamation. Il ne publiera pas d'avis négatif. Il réservera simplement ailleurs l'année prochaine, sans jamais expliquer pourquoi.
Le tourisme français sait mieux que quiconque que l'expérience client est un édifice fragile. Il doit maintenant admettre que cet édifice repose sur une fondation qu'il ne contrôle pas entièrement. Et que chaque partenaire technique, chaque API, chaque flux de données sortant est un prolongement de sa propre identité.
Quand vous donnez à quelqu'un le droit de parler en votre nom, vous ne déléguez pas seulement une fonction. Vous partagez un risque. Et ce risque porte le nom de la seule chose qu'un acteur du tourisme ne peut pas racheter une fois qu'il l'a perdue.
La vraie question est plus inconfortable : à combien d'entreprises avez-vous donné le pouvoir de parler à vos clients en votre nom, et parmi celles-là, combien pourriez-vous appeler ce soir pour leur demander exactement qui a accès à quoi dans leur infrastructure ?
Vacancéole a bien réagi. Notification rapide, communication transparente, collaboration immédiate avec la CNIL et l'ANSSI. C'est le signe d'une organisation qui avait anticipé le scénario.
Mais la meilleure gestion de crise du monde ne répare pas ce qui se joue dans la tête d'un client qui découvre que ses données de vacances circulent quelque part, entre les mains de quelqu'un qu'il n'a jamais choisi de contacter.
Ce client ne fera pas de réclamation. Il ne publiera pas d'avis négatif. Il réservera simplement ailleurs l'année prochaine, sans jamais expliquer pourquoi.
Le tourisme français sait mieux que quiconque que l'expérience client est un édifice fragile. Il doit maintenant admettre que cet édifice repose sur une fondation qu'il ne contrôle pas entièrement. Et que chaque partenaire technique, chaque API, chaque flux de données sortant est un prolongement de sa propre identité.
Quand vous donnez à quelqu'un le droit de parler en votre nom, vous ne déléguez pas seulement une fonction. Vous partagez un risque. Et ce risque porte le nom de la seule chose qu'un acteur du tourisme ne peut pas racheter une fois qu'il l'a perdue.
Et maintenant, on fait quoi ?
Autres articles
-
Conflit Moyen-Orient : derrière la crise aérienne, un risque cyber pour le tourisme [ABO]
-
Faux sites de réservation : la menace fantôme qui s'attaque à vos clients [ABO]
-
Ransomwares dans le tourisme : les sauvegardes ne vous sauveront plus [ABO]
-
Cybersécurité : un sujet devenu central pour les professionnels du voyage
-
Noël : une période sensible pour les cyberattaques !
On commence par une question simple, une question qu'on peut poser dès demain matin en réunion : qui parle à nos clients en notre nom, et depuis quels systèmes ?
Pas la liste théorique du contrat initial. La liste réelle, celle qui inclut le prestataire du prestataire, le module ajouté en urgence l'été dernier, l'outil « provisoire » qui tourne encore trois ans plus tard.
Si personne dans l'organisation n'est capable de répondre à cette question en moins de 48 heures, c'est que le risque existe déjà et que personne ne le voit.
Ensuite, on change la nature de la relation avec ses partenaires techniques. Pas en ajoutant une clause de plus dans un contrat que personne ne relit. En instaurant un droit de regard réel : quand un prestataire envoie des e-mails à vos clients, vous devez savoir qui, dans son équipe, accède à quoi, depuis où, et selon quelles règles.
Ce n'est pas de la méfiance. C'est la contrepartie normale du privilège que vous lui accordez : celui de porter votre nom.
On prépare le scénario que personne n'a envie de répéter : celui de l'appel du vendredi soir où l'on vous annonce qu'un partenaire a été compromis.
Qui prend la parole ? Quel message part aux clients, dans quel délai, par quel canal ?
Vacancéole avait cette réponse prête. C'est ce qui leur a permis de transformer une crise en démonstration de sérieux. Ceux qui n'ont pas cette réponse découvriront, le jour venu, qu'on n'improvise pas la confiance.
Le tourisme a toujours su gérer l'imprévu : la météo, les annulations, les crises sanitaires. La cybersécurité n'est pas un sujet technique qu'on délègue à l'informatique. C'est un risque de réputation.
Et la réputation, dans ce métier, c'est tout ce qu'on vend.
Pas la liste théorique du contrat initial. La liste réelle, celle qui inclut le prestataire du prestataire, le module ajouté en urgence l'été dernier, l'outil « provisoire » qui tourne encore trois ans plus tard.
Si personne dans l'organisation n'est capable de répondre à cette question en moins de 48 heures, c'est que le risque existe déjà et que personne ne le voit.
Ensuite, on change la nature de la relation avec ses partenaires techniques. Pas en ajoutant une clause de plus dans un contrat que personne ne relit. En instaurant un droit de regard réel : quand un prestataire envoie des e-mails à vos clients, vous devez savoir qui, dans son équipe, accède à quoi, depuis où, et selon quelles règles.
Ce n'est pas de la méfiance. C'est la contrepartie normale du privilège que vous lui accordez : celui de porter votre nom.
On prépare le scénario que personne n'a envie de répéter : celui de l'appel du vendredi soir où l'on vous annonce qu'un partenaire a été compromis.
Qui prend la parole ? Quel message part aux clients, dans quel délai, par quel canal ?
Vacancéole avait cette réponse prête. C'est ce qui leur a permis de transformer une crise en démonstration de sérieux. Ceux qui n'ont pas cette réponse découvriront, le jour venu, qu'on n'improvise pas la confiance.
Le tourisme a toujours su gérer l'imprévu : la météo, les annulations, les crises sanitaires. La cybersécurité n'est pas un sujet technique qu'on délègue à l'informatique. C'est un risque de réputation.
Et la réputation, dans ce métier, c'est tout ce qu'on vend.
Qui est Christophe Mazzola ?
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
![Vive Céline Dion ! Quand le loisir vient au secours du tourisme... [ABO]](https://www.tourmag.com/photo/art/large_16_9/95958877-66961991.jpg?v=1775831631 "Vive Céline Dion ! Quand le loisir vient au secours du tourisme... [ABO]")
![Vacancéole piratée : quand celui qui parle en votre nom vous expose en silence [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/95895602-66932770.jpg?v=1775655023 "Vacancéole piratée : quand celui qui parle en votre nom vous expose en silence [ABO]")
![Défaillance d'entreprises : le voyage sous pression malgré une activité encore résistante (Infographie) [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96011631-66979776.jpg?v=1776070102 "Défaillance d'entreprises : le voyage sous pression malgré une activité encore résistante (Infographie) [ABO]")
![Le marché des changes sous pression, l'euro résiste [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96012794-66980751.jpg?v=1776072952 "Le marché des changes sous pression, l'euro résiste [ABO]")
![Fin de Sora : l'IA, le temps des illusionnistes ? [ABO]](https://www.tourmag.com/photo/art/large_16_9/95766435-66883834.jpg?v=1775107984 "Fin de Sora : l'IA, le temps des illusionnistes ? [ABO]")
![Tourisme urbain : les travaux d'Hercule des élus [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/95578197-66798174.jpg?v=1774358728 "Tourisme urbain : les travaux d'Hercule des élus [ABO]")
![« Même pas peur ! » : un nouvel inventaire des craintes touristiques [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/95439383-66748499.jpg?v=1773851225 "« Même pas peur ! » : un nouvel inventaire des craintes touristiques [ABO]")
![Des voyageuses aux influenceuses : nous les femmes ! [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/95197243-66642905.jpg?v=1773067540 "Des voyageuses aux influenceuses : nous les femmes ! [ABO]")
