Cybersécurité : Google impacté par un piratage du système Sabre

Une faille dans la cybersécurité du système SynXis CRS fourni par Sabre a entraîné la fuite des informations personnelles des voyageurs d'affaires de Google, dont les déplacements professionnels sont gérés par CWT.

Google
Le campus Google Googleplex

Les problématiques liées à la cybersécurité sont plus que jamais au cœur du débat, alors que se multiplient les attaques de grande envergure. Il y a quelques semaines, le ransomware WannaCry avait déjà souligné l’urgence de la situation, en frappant à l’échelle mondiale. Cette fois, ce sont trois des plus grandes références du business travel et des nouvelles technologies liées au voyage qui sont concernés plus ou moins directement par un piratage informatique : les données des salariés de Google, dont les voyages d’affaires sont gérés par CWT, ont fuité suite à un piratage des informations transitant par le système SynXis de Sabre Hospitality. Sabre a signalé le problème à la TMC, qui en a alerté son client emblématique le 16 juin dernier, comme l’indique un document diffusé par Google à ses collaborateurs : « Sabre a informé CWT, qui utilise le système SynXis CRS, qu’un tiers non autorisé est parvenu à accéder aux informations personnelles associées à certaines réservations hôtelières effectuées via CWT », explique Google à ses salariés, en indiquant travailler avec les deux partenaires pour identifier les voyageurs d’affaires concernés.

La nature des informations concernées, et surtout la durée de la fuite, poussent Google à la prudence. L’intrusion aurait visé « le nom, les coordonnées, et les informations liées à la carte de paiement utilisée associée à certaines réservations hôtelières présentes dans le système SynXis CRS entre le 10 août 2016 et le 9 mars 2017« . Et de préciser : « l’enquête menée par Sabre n’a découvert aucune preuve d’accès aux informations telles que les numéros de Sécurité Sociale, de passeport, ou de permis de conduire« . Mais les acteurs impliqués manquent encore de certitudes…

Sabre a confié l’enquête à l’un des leaders dans le domaine de la cybersécurité, tandis que Google a décidé d’offrir à ses salariés un abonnement de deux ans à des services complémentaires de protection de l’identité et de surveillance bancaire, fournis par AllClear ID. De son côté, l’agence de voyages d’affaires refuse d’endosser la responsabilité de cette faille dans un système tiers, qu’elle n’utilise pas : « CWT a été informé par Sabre que des données voyageurs ont été consultées par des acteurs extérieurs suite à une brèche dans leur système « Hospitality Solutions / SynXis Central Reservation » (“SHS”), qui fournit la technologie de réservation et le support aux hôtels« , nous indique la TMC. « SHS n’est pas une plateforme technologique de CWT ni une solution utilisée par CWT« , souligne-t-on chez Carlson Wagonlit Travel.

Depuis plusieurs années déjà, les différents acteurs du voyage d’affaires investissent dans la personnalisation de leur offre : une logique qui, sans une sécurisation optimale de tous les maillons de la chaîne business travel, peut malheureusement s’avérer dangereuse pour le voyageur d’affaires et son entreprise.