La stratégie de sécurité digitale de la chaîne hôtelière garantit la tranquillité d'esprit dans 130 000 chambres

APA Group, l'une des plus grandes chaînes hôtelières du Japon, avec 981 hôtels et plus de 130 000 chambres au Japon et à l'étranger, se concentre sur la transformation digitale. L'application pour mobile APA App, destinée aux clients des hôtels, est particulièrement populaire.

APA App propose des procédures sans contact pour effectuer les réservations, les enregistrements et les départs. La fonction « Réservation en une étape » permet aux voyageurs de réserver facilement des chambres dans leurs hôtels préférés. Deuxièmement, la fonction « Enregistrement en une seconde » permet aux utilisateurs de s'enregistrer instantanément en présentant le code QR de l'APA App devant le scanner de la réception. Enfin, la fonction « Départ en une seconde » permet aux clients de terminer la procédure de départ en déposant simplement leur clé de chambre dans la boîte prévue à cet effet (BOÎTE DE DÉPART EXPRESS). Ces différents systèmes, appelés APA Triple-One, ont été très bien accueillis, avec environ 80 % des clients qui les utilisent.

L'application APA Stay Here permet également aux clients d'adresser leurs demandes à la réception et est dotée d'un chatbot concierge alimenté par l'IA, au lieu de devoir s'adresser aux agents de la réception ou de se rendre à la réception.

Au début, les applications hôtelières n'étaient que des versions améliorées des sites de réservation en ligne. « Bien que nous soyons arrivés tardivement sur le marché, nous avons conçu notre application en mettant l'accent sur la facilité d'utilisation pour le client, en supposant une utilisation sur smartphone dès le début, et elle a été très bien accueillie. Les clients peuvent désormais tout gérer via l'application, de l'accès aux services pendant leur séjour à la gestion des points de fidélité après leur départ », a déclaré Kiyoshi Hamamoto, directeur général, APA Resort Co., Ltd. et directeur des technologies de l'information, APA Group Co., Ltd.

Outre l'amélioration de l'expérience client, APA Hotels utilise des applications pour mobile pour simplifier les activités hôtelières, telles que les services de ménage et de réception. Les procédures qui se faisaient sur papier, telles que le suivi du statut d'occupation des chambres, la gestion des objets perdus et trouvés, et la comptabilité, se font désormais via des applications et sont reliées au système back-end via une API. Ce passage du système analogique au digital a permis d'améliorer considérablement l'efficacité opérationnelle.

Dans le secteur hôtelier, qui accueille un large éventail de clients du monde entier, la sécurisation des services informatiques constitue un des enjeux les plus importants. Alors que les cyberattaques deviennent chaque jour plus sophistiquées et plus intenses, la protection des informations personnelles revêt une importance croissante. APA Group s'efforce de renforcer ses mesures de sécurité en conséquence, par exemple en utilisant les services d'Akamai pour déjouer les attaques DDoS.

Cependant, la digitalisation réussie des procédures des hôtels APA via des applications a révélé une nouvelle surface d'attaque : les API utilisées pour permettre le fonctionnement des applications et la collaboration inter-entreprises. Ces dernières années, les activités hôtelières se sont diversifiées et sont devenues plus décentralisées, s'appuyant sur un nombre croissant de systèmes et de services tiers. Par conséquent, les API sont devenues plus nombreuses et plus critiques, ce qui constitue un élément clé de l'infrastructure d'un hôtel. Dans le même temps, les cyberattaques ciblant les API se multiplient, d'où la nécessité de mettre en œuvre des mesures de sécurité appropriées.

Bien que APA Hotels ait collecté les journaux des communications des API, leur volume rendait leur analyse difficile, si bien qu'il était donc impossible de détecter manuellement les signes d'une attaque. Même si les organisations de sécurité ont pour habitude de renforcer leurs systèmes, les exigences à l'égard des individus ne cessent d'augmenter. M. Hamamoto et son équipe souhaitaient non seulement protéger les clients, mais aussi les employés de l'hôtel (qui sont les plus touchés par les incidents), en renforçant considérablement la sécurité des API.

« Visualiser l'activité des API était essentiel », a déclaré Hamamoto. « Nous avions besoin de plus que des journaux plus simples à lire, nous avions besoin d'une vue façonnée par des experts en sécurité qui connaissent bien les communications des API. » Si nous parvenons à identifier clairement les points sur lesquels nous devons nous concentrer, il sera plus facile de collaborer avec les fournisseurs qui développent nos applications et nos API. »

Dans le cadre d'une croissance future des services et des API, M. Hamamoto a choisi Akamai API Security pour une protection spécialisée des API.

APA Group s'appuie depuis longtemps sur les solutions de sécurité d'Akamai, notamment la protection WAF et DDoS, et a toujours apprécié la fiabilité de la technologie et de l'assistance. Le facteur décisif pour API Security a été sa capacité à visualiser et à analyser les journaux, mais aussi à travailler de manière fluide avec les services de sécurité existants pour bloquer les attaques et renforcer les mesures de sécurité globales.

« L'une des choses que j'apprécie le plus chez Akamai est son assistance. La sécurité peut être complexe et il est rare de trouver des experts qui en comprennent vraiment toutes les facettes. Cependant, Akamai comble ces lacunes pour nous et joue un rôle stratégique en nous aidant à répondre rapidement aux attaques. L'atelier sur API Security nous a été particulièrement utile : il nous a permis de comprendre le point de vue de l'attaquant. Par conséquent, une plus grande partie de notre équipe s'est intéressée à la sécurité, ce qui est très avantageux », a déclaré Hamamoto.

L'un des principaux avantages de la mise en œuvre d'API Security est que les utilisateurs peuvent désormais voir des signes qui passaient auparavant inaperçus. Par exemple, l'erreur « 404 » est souvent ignorée, car il s'agit d'une erreur courante dans les services Web. Grâce API Security, APA Group peut visualiser les causes sous-jacentes d'une erreur 404 et détecter les signes d'une attaque.

API Security est souvent comparée aux services standards d'évaluation des vulnérabilités fournis par les fournisseurs. Cependant, lorsque les résultats indiquent « aucun problème détecté » ou que le test de pénétration a échoué, ils peuvent sembler peu concluants. L'un des principaux avantages d'API Security est sa capacité à visualiser l'activité d'une manière qui permet aux équipes de sécurité de vérifier si les domaines critiques ont été correctement examinés et si des risques ont été identifiés. Cette solution a également permis de résoudre le problème du suivi de volumes importants de données de journaux. « De nombreux produits et technologies permettent de visualiser les journaux, mais peu d'entre eux nous montrent ce qui est vraiment important », a déclaré M. Hamamoto.

« Le tableau de bord d'API Security m'a permis de comprendre la quantité d'informations échangées via les API. Il est facile de négliger les API, mais maintenant nous comprenons clairement l'importance de les protéger. La sécurité des API peut être complexe, mais l'interface de la solution d'Akamai est facile à comprendre, ce qui réduit les barrières », a affirmé M. Hamamoto.

Le concept d'architecture Zero Trust est également important pour garantir la sécurité des API. Les API privées permettant de se connecter à des systèmes partenaires, tels que les agences de voyage, peuvent sembler sécurisées. Cependant, une fois dans le réseau du partenaire, elles peuvent être exploitées comme points d'entrée pour des attaques. « Une attaque peut venir de n'importe où et se produire instantanément. C'est pourquoi il est essentiel de disposer d'un système qui nous permette de visualiser immédiatement toute attaque et de protéger nos précieuses ressources d'information, notre entreprise et nos clients », a déclaré M. Hamamoto.

APA Group continuera d'améliorer ses services hôteliers en perfectionnant les applications APA App et APA Stay Here. « La sécurité reste une priorité absolue et nous nous engageons à apporter des améliorations continues qui dépassent la protection des API afin que les clients puissent utiliser nos services en toute confiance. Nous nous réjouissons du soutien continu d'Akamai qui identifie les tendances en matière de cyberattaques et fournit des solutions et des conseils en temps opportun », a conclu M. Hamamoto.

Fondé en 1971 dans la préfecture d'Ishikawa, APA Group a commencé ses activités en construisant des maisons sur mesure. Grâce à la vente de maisons individuelles et au développement de copropriétés, la société est devenue une entité commerciale diversifiée qui comprend la gestion hôtelière et le développement urbain. C'est l'une des plus grandes chaînes hôtelières du Japon, avec 138 054 chambres, dont des projets en cours. Elle promeut activement son expansion à l'étranger, en particulier en Amérique du Nord. L'entreprise est un leader du secteur hôtelier grâce à ses applications pour mobile et à son système d'enregistrement uniques.