Le secteur de la restauration a rapidement évolué vers un paysage numérique. Avec la généralisation des transactions sans espèces et des services de livraison, les convives profitent d’expériences culinaires plus rapides et rationalisées. Cependant, cette adoption technologique a également introduit de nouvelles vulnérabilités en matière de cybersécurité.
Pour 2025 et les années suivantes, les dirigeants de restaurants devront être attentifs à l’augmentation des cyberattaques ciblant les systèmes de point de vente (POS), aux tactiques de manipulation sociale alimentées par l’IA, ainsi qu’aux nouvelles faiblesses au sein des chaînes d’approvisionnement.
Voici un aperçu des quatre principaux risques en matière de cybersécurité pour les restaurants dans la nouvelle année :
1. Les systèmes de paiement sans espèces encouragent davantage d’attaques sur les systèmes de point de vente
Les systèmes de point de vente constituent un élément fondamental des opérations quotidiennes d’un restaurant. Malheureusement, cela en fait une cible privilégiée pour les cyberattaques. Par exemple, l’an dernier, des milliers de restaurants ont été touchés après l’attaque du groupe de ransomwares Blackcat sur le logiciel de point de vente Aloha, compromettant des données sensibles.
Cet incident est cependant loin d’être isolé. Les systèmes de point de vente modernes sont de plus en plus équipés de fonctionnalités modernes, notamment des systèmes de paiements sans espèces. Accélérées par la pandémie de COVID-19, ces transactions (comme celles effectuées via des codes QR et des portefeuilles numériques) ont rapidement pris le pas sur les transactions traditionnelles. D’ailleurs, selon le rapport 2024 de la National Restaurant Association sur l’état de l’industrie de la restauration, plus de la moitié des millennials et de la génération Z préfèrent les établissements offrant des services technologiques comme les paiements mobiles. En parallèle, une étude de Deloitte révèle que les clients de restaurants dépensent 20 % de plus lorsqu’ils utilisent des dispositifs de point de vente portables.
Bien que cela représente un avantage tant pour les restaurateurs que pour les clients en termes de ventes accrues et de commodité, ces systèmes de paiement sans espèces introduisent de nouvelles vulnérabilités dans les systèmes de point de vente, déjà souvent visés. Ils rendent les restaurants plus susceptibles de faire face à des techniques de fraude comme le skim ou d’autres fraudes liées aux points de vente. Les codes QR, par exemple, peuvent être exploités par le biais de phishing, où des hackers créent de faux codes pour diriger les utilisateurs vers des sites malveillants. Par ailleurs, ils peuvent cibler les portefeuilles numériques afin d’intercepter des données de paiement non chiffrées.
Ces nouvelles portes d’entrée offrent aux hackers plus d’opportunités pour infiltrer et potentiellement voler des données sensibles.
2. Les deepfakes vont intensifier les attaques par ingénierie sociale
En se projetant vers 2025, d’autres technologies émergentes aideront les cybercriminels à cibler les restaurants plus efficacement. Notamment, l’essor des deepfakes, qui sont des images, vidéos ou enregistrements audio développés par apprentissage profond. Grâce à la technologie deepfake, les acteurs malveillants peuvent imiter les voix et même les apparences physiques de personnes réelles avec une précision déconcertante, ce qui leur permet de mener des attaques d’ingénierie sociale plus réalistes et percutantes que jamais.
Par exemple, à l’aide d’enregistrements audio ou vidéo hautement personnalisés, ces malfaiteurs peuvent se faire passer pour des gestionnaires de restaurant, des agents des ressources humaines ou un support informatique, trompant ainsi le personnel pour qu’il clique sur des liens malveillants, télécharge des malwares, ou divulgue des informations financières ou des identifiants de connexion.
Sans une éducation accrue à la cybersécurité et une formation sur la sensibilisation aux deepfakes, il sera de plus en plus difficile pour les employés de faire la distinction entre fraude et réalité, et c’est pourtant ce qu’ils devront faire. Les conséquences des violations de données pour les restaurants peuvent être considérables, allant des données personnelles des employés et des clients compromises, à des attaques par ransomware, des temps d’arrêt opérationnels, voire des poursuites judiciaires.
3. L’IA va rendre les attaques de phishing plus sophistiquées
Outre les deepfakes, d’autres manières dont l’intelligence artificielle (IA) rendront les attaques d’ingénierie sociale plus astucieuses. De nouvelles attaques de phishing propulsées par l’IA peuvent imiter intelligemment les styles d’écriture et de ton de personnes réelles pour créer des courriels ou des SMS trompeurs pour les employés de restaurant.
Les cybercriminels peuvent, par exemple, envoyer des courriers électroniques se faisant passer pour des fournisseurs pour demander des paiements d’invoices ou pour modifier leurs informations de paiement. Ils peuvent également usurper l’identité de travailleurs internes des ressources humaines pour extraire des informations sensibles comme des données salariales ou des identifiants d’employés. De plus, ils peuvent envoyer des SMS au personnel de restaurant, prétendant être un livreur confronté à un problème de commande, ce qui peut conduire le personnel à cliquer sur un lien malveillant, installant sans le savoir des malwares ou accordant un accès non autorisé au réseau du restaurant.
Les courriels et SMS de phishing ne sont pas nouveaux ; beaucoup de gens ont appris à les détecter, et la plupart des boîtes de réception envoient automatiquement les messages suspects dans le dossier SPAM. Cependant, les courriels modernes de phishing, propulsés par l’IA, seront capables de contourner plus intelligemment le filtre SPAM et de convaincre le personnel de leur légitimité.
4. Les plateformes de livraison augmentent les risques d’attaques sur la chaîne d’approvisionnement
La chaîne d’approvisionnement des restaurants est complexe, impliquant fournisseurs de nourriture, processeurs de paiement et services de livraison. Souvent, les systèmes de ces fournisseurs tiers sont intégrés directement avec ceux des restaurants, et parfois même partagent des identifiants de connexion. Cela fait des fournisseurs tiers une passerelle facile pour mener des cyberattaques contre les restaurants et dérober des données personnelles et financières des clients et employés.
Encore une fois, les systèmes de point de vente représentent des occasions propices aux attaques, car les malfaiteurs peuvent pirater les systèmes des tiers puis exploiter ces connexions pour obtenir un accès complet aux systèmes des restaurants. Mais ce n’est pas la seule façon dont les hackers peuvent tirer parti de la chaîne d’approvisionnement pour cibler les restaurants.
Aujourd’hui, les plateformes de livraison jouent un rôle essentiel dans la chaîne d’approvisionnement des restaurants. Un rapport 2024 de Paytronix sur les commandes en ligne indique que 27 % de toutes les commandes des restaurants et des boutiques de proximité ont été passées en ligne, tandis que le rapport 2024 de Square sur la restauration confirme que 50 % des convives ont déjà utilisé un service de livraison au moins une fois. À mesure que de plus en plus de clients choisissent la commande en ligne, les plateformes de livraison deviendront une cible de plus en plus attrayante pour les cybercriminels. S’ils parviennent à compromettre une plateforme de livraison, cela leur permettrait d’accéder sans autorisation au système d’un restaurant pour voler des informations de paiement, manipuler les systèmes de commande et d’inventaire, installer des ransomwares ou mener d’autres activités malveillantes.
Conclusion : Préparez-vous dès maintenant aux plus grands risques cybernétique de 2025
D’ici 2025 et au-delà, les cybercriminels continueront à trouver des moyens de plus en plus sophistiqués pour attaquer et infiltrer les réseaux des restaurants, dans le but de voler des données sensibles, de déployer des ransomwares et de perturber les opérations. Les attaques via les systèmes de point de vente, les méthodes d’ingénierie sociale et la chaîne d’approvisionnement seront au centre des préoccupations et seront d’autant plus exploitables grâce aux transactions sans espèces, à l’IA et aux plateformes de services de livraison.
Pour mieux se préparer à détecter et contrer ces cyberattaques, les restaurants doivent prioriser l’intelligence cybernétique et le partage d’informations, en participant à des organisations professionnelles comme le RH-ISAC. En collaborant avec d’autres organisations du secteur de la vente au détail et de l’hospitalité, les dirigeants de restaurants peuvent échanger des bonnes pratiques et résoudre des problèmes ensemble pour participer à la création d’une industrie meilleure et plus sûre pour tous.
Bon à savoir
- Les systèmes POS sont cruciaux pour le fonctionnement d’un restaurant, mais leur sécurité est souvent négligée.
- La formation continue des employés sur les menaces de cybersécurité est essentielle pour faire face à l’évolution des attaques.
- La collaboration entre établissements peut renforcer la sécurité globale du secteur.
Avec l’accélération de la transformation numérique dans le secteur de la restauration, il est fondamental pour les professionnels d’anticiper ces menaces. Quelles stratégies peuvent être mises en place pour renforcer la sécurité et garantir la confiance des clients face à ces évolutions ? La discussion est ouverte.
La sécurité dans la restauration est cruciale avec toutes ces nouvelles technologies. Il est essentiel de former les employés et de rester vigilant face aux menaces émergentes.