Numérique & Données

Cybersécurité Restaurant : 9 Étapes Contre les Hackers

Votre caisse, votre wifi et vos données clients sont une cible — souvent sans que vous le sachiez

Les restaurants figurent depuis des années parmi les cibles les plus fréquentes des malwares de caisse — non pas parce que les hackers en veulent à la restauration, mais parce que c'est une cible facile.

Des chaînes comme Chipotle, Sonic Drive-In et Checkers & Rally's ont toutes été touchées ces dernières années par des malwares installés sur leurs systèmes de caisse, parfois pendant des mois sans être détectés, avec des millions de numéros de carte volés à la clé. Selon le dernier Data Breach Investigations Report de Verizon, un tiers extérieur — un fournisseur, un partenaire de caisse ou de logiciel — intervient désormais dans 30 % de toutes les fuites de données, contre à peine la moitié de ce chiffre un an plus tôt. Et dans 22 % des cas, un mot de passe volé ou trop faible a servi de porte d'entrée. Pas besoin d'être une chaîne internationale pour devenir une cible : la plupart des attaques sont automatisées ou passent par un seul fournisseur vulnérable qui dessert des dizaines de restaurants à la fois. Cet article vous donne 9 étapes concrètes, en grande partie gratuites ou peu coûteuses, pour sécuriser votre restaurant :

  1. Séparez votre wifi clients — jamais sur le même réseau que votre caisse.
  2. Sécurisez votre système de caisse — mises à jour, et méfiez-vous de tout "technicien" non annoncé.
  3. Choisissez un prestataire de paiement conforme PCI-DSS — et ne conservez jamais vous-même les données de carte.
  4. Utilisez des mots de passe forts et la double authentification — partout, pas seulement à la caisse.
  5. Repérez le phishing et la fraude à la facture — le coût le plus sous-estimé de la restauration.
  6. Limitez les accès par rôle — et retirez-les immédiatement en cas de départ.
  7. Vérifiez vos fournisseurs — leur faille devient votre fuite de données.
  8. Faites des sauvegardes et testez votre plan de reprise — avant le jour où votre caisse tombe en panne.
  9. Connaissez votre obligation de notification — le RGPD vous donne 72 heures, pas un jour de plus.

Pourquoi la restauration est une cible privilégiée

Un restaurant traite chaque jour des dizaines, voire des centaines de transactions par carte, conserve des données de réservation et des coordonnées de clients, et travaille souvent avec du matériel de caisse vieillissant ou mal entretenu qui tourne sans changement pendant des années. Ajoutez à cela un fort turnover du personnel et des connaissances informatiques limitées, et vous obtenez exactement le profil que recherchent les attaquants : beaucoup de données de valeur, peu de résistance. Contrairement à une attaque ciblée contre une grande banque, la plupart des malwares de caisse sont opportunistes — ils recherchent automatiquement des systèmes vulnérables, sans se soucier de savoir si votre établissement compte douze ou cent vingt tables.

La bonne nouvelle : la plupart des mesures ci-dessous ne coûtent rien, juste dix minutes d'attention. La cybersécurité en restauration est rarement une question de service informatique coûteux à engager — c'est avant tout une question de colmater les failles les plus évidentes.

9 étapes vers un restaurant cyber-sécurisé

1. Séparez votre wifi clients de votre réseau de caisse

L'erreur la plus fréquente — et la plus sous-estimée — consiste à utiliser un seul et même routeur pour tout : la caisse, le PC de bureau avec la comptabilité, et le wifi offert gratuitement aux clients. Dès qu'un client (ou quelqu'un à qui le mot de passe a été transmis) se trouve sur ce réseau, il peut, dans le pire des cas, observer le trafic vers votre système de caisse.

  • Créez deux réseaux distincts : un pour les clients, un pour la caisse et le back-office, chacun avec son propre mot de passe. La plupart des routeurs de milieu de gamme le permettent via un "SSID invité" ou un VLAN, souvent en un seul réglage.
  • Changez régulièrement le mot de passe invité, par exemple chaque mois, pour éviter qu'un ancien mot de passe largement diffusé continue de circuler.
  • Branchez votre système de commande QR sur le réseau clients, jamais sur celui de votre caisse — même si cela paraît plus pratique.

Ce seul changement — deux réseaux au lieu d'un — ferme la voie la plus utilisée par laquelle un appareil client infecté pourrait un jour atteindre votre caisse.

2. Sécurisez votre système de caisse lui-même

Lors du choix d'un système de caisse, on regarde en général les intégrations et les frais de transaction — mais la manière dont il est et reste sécurisé compte tout autant. Quelques règles pratiques :

  • Installez les mises à jour logicielles de votre caisse dès qu'elles sont disponibles ; un logiciel de caisse obsolète est la cible la plus facile qui soit.
  • Réservez le PC de caisse exclusivement à la caisse — pas pour faire une recherche rapide, consulter ses e-mails ou lancer de la musique.
  • Méfiez-vous de tout "technicien" inattendu. Le groupe de hackers brésilien Prilex s'est fait connaître dans le monde entier avec un malware de caisse capable de cloner même les transactions à puce et code PIN — l'infection démarre typiquement par un coup de fil d'un prétendu technicien qui insiste pour "mettre à jour" le logiciel de caisse et demande d'installer un logiciel comme AnyDesk pour un accès à distance. En cas de doute, rappelez toujours le numéro officiel de votre propre fournisseur, jamais le numéro donné par l'appelant.

3. Choisissez un prestataire de paiement conforme PCI-DSS

Tout acteur qui traite des paiements par carte doit être conforme à la norme PCI-DSS, le standard de sécurité des réseaux de cartes bancaires. La conséquence pratique pour vous : ne laissez jamais transiter ou stocker des données de carte par vos propres systèmes si ce n'est pas nécessaire.

  • Choisissez un terminal ou un prestataire de paiement qui tokenise les données de carte — votre caisse ne voit alors jamais le vrai numéro de carte, seulement un code de substitution sans valeur.
  • Ne conservez jamais vous-même des numéros de carte dans des tableurs, des e-mails ou des notes "au cas où".
  • Si vous n'êtes pas conforme PCI-DSS et qu'une fuite survient malgré tout, vous pouvez être tenu responsable des transactions frauduleuses — le coût de la non-conformité dépasse presque toujours celui d'un prestataire conforme.

Les chiffres qui font la différence

Pourquoi la rapidité et l'hygiène de base pèsent plus lourd qu'un contrat de sécurité coûteux.

Délai de notification en cas de fuite de données (RGPD)72 heures
Plafond de l'amende en cas de fuite gravejusqu'à 4 % du CA annuel
Fuites de données mondiales via un tiers30 %
Incidents déclenchés par un mot de passe volé22 %

4. Mots de passe forts et double authentification, partout

Un seul mot de passe partagé et vieux de plusieurs années ("caisse1234") que chaque employé a un jour reçu est peut-être le plus grand risque invisible de la restauration. Le temps que vous vous en rendiez compte, dix anciens employés le connaissent encore.

  • Activez la double authentification partout où c'est possible : sur votre compte de caisse, votre système de réservation, votre profil Google Business et votre messagerie professionnelle. C'est généralement gratuit et cela ne coûte qu'un clic de plus à la connexion.
  • Donnez à chaque employé son propre identifiant plutôt qu'un compte partagé — vous saurez ainsi aussi qui a fait quoi en cas de problème.
  • Utilisez un gestionnaire de mots de passe pour les comptes professionnels plutôt que de réutiliser le même mot de passe partout.
Le guide ultime Le guide ultime de la tech & des données du restaurant Site web, IA, analytics et sécurité pour faire avancer votre restaurant. Ouvrir le guide

5. Repérez le phishing et la fraude à la facture

La plupart des intrusions ne commencent pas par du code sophistiqué, mais par un e-mail ou un appel qui abuse de la confiance. Intégrez ce point explicitement à votre formation du personnel :

  • Fraude à la facture : un "fournisseur" écrit que son numéro de compte a changé. Confirmez toujours tout changement de coordonnées bancaires par téléphone, via un numéro que vous connaissiez déjà — jamais via celui indiqué dans l'e-mail.
  • Fraude au président : un e-mail urgent "du gérant" demandant d'acheter des chèques-cadeaux ou de faire rapidement un virement. Convenez au sein de votre équipe que ce type de demande doit toujours être confirmé oralement.
  • Faux e-mails "de votre fournisseur de caisse" ou "de Google" demandant de se connecter via un lien. En cas de doute, rendez-vous toujours directement sur le site officiel plutôt que de cliquer sur le lien.

6. Limitez les accès par rôle — et retirez-les immédiatement

Tous les employés n'ont pas besoin de droits d'administrateur sur votre caisse, votre système de réservation ou vos réseaux sociaux. Travaillez par rôles : un serveur peut créer des commandes, mais n'a pas besoin de pouvoir exporter des rapports ou modifier des paramètres.

  • N'accordez des droits d'administrateur complets qu'au gérant et à un nombre restreint de responsables.
  • Retirez les accès immédiatement dès qu'une personne quitte l'établissement — c'est l'étape la plus souvent oubliée de toute cette liste, et l'une des plus risquées. Intégrez-la systématiquement à votre check-list de départ, au même titre que le reste de la gestion de votre personnel.
  • Vérifiez au moins deux fois par an qui a encore accès à quoi, et supprimez ce qui n'est plus nécessaire.

7. Vérifiez vos fournisseurs : leur faille devient votre fuite de données

Votre système de caisse, votre plateforme de commande en ligne et vos outils d'automatisation tournent souvent sur le logiciel d'un prestataire externe. Si ce prestataire est piraté, c'est vous qui en subissez les conséquences. Depuis octobre 2024, la directive européenne NIS2 relève les exigences de sécurité pour les entreprises moyennes et grandes dans de nombreux secteurs — les restaurants individuels y échappent la plupart du temps (le seuil est fixé à 50 employés ou 10 millions d'euros de chiffre d'affaires), mais votre fournisseur de caisse, de réservation ou de paiement, lui, se trouve souvent en plein dedans. Demandez donc à chaque nouveau fournisseur :

  • Êtes-vous conformes NIS2 ou ISO 27001, ou pouvez-vous au moins démontrer comment les données clients sont protégées ?
  • À quelle vitesse les clients sont-ils prévenus en cas d'incident de votre côté ?
  • Où et combien de temps nos données sont-elles conservées, et qui y a accès ?

Cela rejoint directement le regard critique que vous devez de toute façon porter sur la manière dont vous traitez les données clients au titre du RGPD : la responsabilité des données de vos clients ne s'arrête pas au fournisseur qui les stocke techniquement.

8. Faites des sauvegardes et testez votre plan de reprise

Les rançongiciels font rarement les gros titres en restauration comme dans les hôpitaux, mais l'effet est tout aussi perturbateur : une caisse qui tombe en panne un vendredi soir chargé signifie une perte de chiffre d'affaires immédiate et des clients frustrés à la porte.

  • Faites régulièrement des sauvegardes des données de réservation, des données clients et de la configuration — automatiquement, pas manuellement "quand on y pense".
  • Conservez au moins une sauvegarde séparée de votre réseau principal, pour qu'un rançongiciel qui chiffre vos systèmes n'emporte pas aussi votre sauvegarde.
  • Testez au moins une fois par an que vous pouvez réellement restaurer une sauvegarde — une sauvegarde jamais restaurée reste une hypothèse, pas une garantie.

9. Connaissez votre obligation de notification et envisagez une assurance

Si vous traitez des données personnelles de clients ou d'employés — et c'est le cas de pratiquement tous les restaurants, des réservations aux dossiers du personnel — le RGPD s'applique intégralement, quelle que soit votre taille. En cas de fuite de données grave :

  • Vous devez le notifier dans les 72 heures suivant la découverte à l'autorité de protection des données.
  • Vous devez prévenir les clients ou employés concernés si le risque pour eux est élevé.
  • Les amendes peuvent atteindre 4 % du chiffre d'affaires mondial annuel — en pratique, les petits établissements s'en sortent généralement bien plus légèrement, mais l'obligation de notification elle-même s'applique sans exception.

Une cyber-assurance abordable couvre souvent non seulement les dommages directs, mais aussi l'enquête technique et l'assistance juridique après un incident — renseignez-vous auprès de l'assureur qui gère déjà vos autres polices. Documentez par ailleurs sur une simple feuille qui appeler (fournisseur, assureur, éventuellement une aide informatique) dès que quelque chose tourne mal : au cœur de la nuit, vous ne voudrez pas chercher un numéro de téléphone.

Erreurs fréquentes qui fragilisent la cybersécurité

  • Faire tourner la caisse, le bureau et le wifi clients sur exactement le même réseau.
  • Utiliser un seul mot de passe partagé qui ne change jamais, même après un changement de personnel.
  • Laisser un "technicien" non annoncé prendre le contrôle à distance de la caisse sans vérification.
  • Noter ou conserver manuellement les données de carte des clients "par précaution".
  • Ne retirer l'accès des employés partis que lorsque cela se remarque par hasard.
  • Ne jamais tester si une sauvegarde peut réellement être restaurée.

Conclusion : la sécurité comme hygiène de base, pas comme luxe

La cybersécurité en restauration demande rarement un investissement important. C'est une série de petites habitudes structurelles : un réseau clients séparé, la double authentification, un regard critique sur chaque appel inattendu, et des accès retirés dès qu'une personne part. Commencez cette semaine par les étapes gratuites — séparer les réseaux, activer la double authentification, informer votre équipe sur le phishing — et planifiez le reste lors de votre prochain entretien avec un fournisseur.

Le prix de ces quelques heures d'attention est dérisoire comparé à ce que coûte une fuite de données en réputation, en amendes et en confiance de clients qui s'attendaient justement à ce que leurs données soient en sécurité chez vous.

Questions fréquentes

Mon restaurant est-il trop petit pour intéresser des hackers ?

Non. La plupart des attaques visant les systèmes de caisse sont automatisées ou passent par l'éditeur du logiciel qui gère des dizaines de restaurants en même temps — la taille de votre établissement n'entre alors pas en ligne de compte. Être petit signifie en plus souvent moins de soutien informatique, donc une cible plus facile, pas une cible moins intéressante.

Dois-je me conformer moi-même à la directive NIS2 en tant que petit établissement ?

Le plus souvent, pas directement : NIS2 vise les moyennes et grandes entreprises (à partir de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires). La plupart des restaurants individuels se situent en dessous de ce seuil. En revanche, NIS2 relève les exigences de sécurité imposées à vos fournisseurs de caisse, de réservation et de paiement, qui eux entrent souvent dans le champ d'application — leur niveau de sécurité conditionne en partie celui de vos propres données.

Que dois-je faire si je soupçonne une fuite de données ?

Déconnectez immédiatement l'appareil concerné du réseau, prévenez sans attendre votre fournisseur de caisse ou de logiciel, et documentez ce que vous constatez. S'il s'agit de données personnelles de clients ou d'employés, vous devez le notifier à l'autorité de protection des données dans les 72 heures. N'attendez pas d'être certain : une notification rapide pèse plus lourd qu'une notification parfaite.