Le moyen le plus rapide de perdre des données hôtelières : confier tout le travail à un seul mot de passe.
Les mots de passe sont réutilisés entre hôtels et comptes personnels. Les téléphones traînent sur les comptoirs. Les portables se prêtent. Un mot de passe seul ne suffit plus à protéger les données de l’établissement, la paie et la correspondance avec les clients. La solution est la même depuis dix ans : ajouter un second facteur. Le difficile, c’était de le rendre assez simple pour que les équipes hôtelières l’adoptent vraiment.
C’est cette partie-là que nous avons construite.
Ce que fait la MFA
Chaque utilisateur ajoute un second facteur — un passkey sur son téléphone ou son portable, une app d’authentification, ou les deux. Chaque propriétaire d’hôtel décide si ce second facteur est optionnel ou obligatoire pour tous ceux qui y travaillent. Pas de service tiers, pas d’abonnement supplémentaire, pas de SMS interceptable.
Toute l’expérience vit dans la même app que l’équipe utilise déjà. Même connexion. Même préférence linguistique. Même journal d’audit.
Comment ça marche
L’utilisateur ouvre Paramètres → Authentification à deux facteurs, choisit Ajouter un passkey (recommandé) ou App d’authentification, et confirme avec un code à 6 chiffres envoyé à l’e-mail enregistré. À partir de ce moment, chaque nouvelle session de navigateur demande le second facteur avant d’afficher les données de l’hôtel.
Pour activer l’obligation pour tous dans un hôtel, l’admin ouvre Paramètres de l’hôtel → Politique à deux facteurs et bascule sur Obligatoire. Dès lors, quiconque se connecte sans MFA est dirigé vers un écran d’enrôlement clair — passkey, app d’authentification, ou retour pour choisir un autre hôtel.
C’est toute l’expérience d’administration. Un interrupteur.
Fonctions clés
- Deux options d’enrôlement — passkey (Touch ID / Face ID / Windows Hello / clé de sécurité) ou app (toute app RFC 6238)
- Connexion sans mot de passe — un passkey sur l’appareil remplace e-mail + mot de passe en un tap
- Huit codes de récupération à usage unique générés à l’enrôlement, régénérables à la demande
- Politique par hôtel — Optionnelle ou Obligatoire, un seul interrupteur
- Confirmation par e-mail avant le premier enrôlement (bloque le détournement silencieux de passkey)
- Vérification renforcée pour les changements sensibles — ajouter, retirer ou régénérer redemande toujours
- Nouveau navigateur, nouvel appareil, nouvelle session — toujours demande du second facteur
- Passkey retiré, c’est définitif — cet identifiant ne peut plus jamais se connecter, même retrouvé
- Journal d’activité par utilisateur — chaque action MFA, avec horodatage et IP
- Quatre langues — chaque écran et chaque e-mail suit la préférence de l’utilisateur
Pour qui
Propriétaires dont la police de cyber-assurance exige le 2FA sur les comptes du personnel. Directeurs de groupes multi-établissements avec back-end partagé. Compliance qui veut une trace auditable de qui a activé MFA et quand. Chefs de réception fatigués de réinitialiser les mots de passe oubliés chaque lundi.
Quiconque lit un rapport de fuite de données et pense « on ne veut pas être les suivants ».
Pourquoi pas de SMS
Le 2FA par SMS est cassé publiquement depuis des années. Attaques SIM-swap, employés malveillants chez les opérateurs, messages interceptés — tout est documenté, tout est routinier. Nous n’expédions pas SMS comme facteur. Uniquement passkeys et TOTP — tous deux basés sur des standards, tous deux vérifiables de bout en bout, tous deux résistants au phishing à leur manière.
Ce choix signifie : un hôtel qui adopte la MFA dans Rapid Hotel System adopte le standard auquel les grandes entreprises tech sont déjà passées.
Pourquoi les passkeys changent l’expérience
La connexion par passkey est cette rare amélioration de sécurité qui est aussi une amélioration d’usage. Tap sur l’empreinte, c’est ouvert. Pas d’e-mail à taper. Pas de mot de passe à retenir. Pas de code à recopier d’une app à l’autre. Même sécurité qu’un mot de passe fort plus 2FA, en une fraction du temps.
Pour une équipe de réception qui se connecte des dizaines de fois par service, cet écart devient des minutes réelles par service.
Récupération intégrée
Dès qu’un utilisateur enrôle son premier facteur, le système émet huit codes de récupération à usage unique. L’utilisateur les imprime, les enregistre dans un gestionnaire de mots de passe ou les met en lieu sûr — le système ne conserve pas de copies lisibles, c’est donc à l’utilisateur de les ranger là où il pourra les retrouver. Téléphone perdu, portable perdu, retour de vacances avec un autre appareil — un seul code redonne accès. Chacun ne fonctionne qu’une fois. Nouveau jeu sur demande.
Ce seul design évite la panne 2FA la plus courante : des personnes bloquées parce qu’elles ont changé d’appareil sans jamais penser à la récupération.
La part honnête
La plupart des logiciels traitent encore la MFA comme une fonction entreprise, un add-on payant ou une case que personne ne déploie. Les hôtels sont particulièrement sous-protégés — forte rotation, postes partagés, accès prestataires qui s’accumulent, et un flux constant de données clients et de paiements dans chaque système.
Un second facteur ne résout pas toutes les menaces. Il élimine la plus grande : le mot de passe volé ou deviné. Intégré, multilingue, inclus dans le produit — il n’y a aucune raison qu’un hôtel de toute taille ne l’active pas dès demain.
À quel point vos connexions hôtelières sont-elles protégées aujourd’hui — mot de passe seul, MFA disponible mais optionnelle, ou MFA obligatoire pour chaque membre de l’équipe ?