La sécurité du système d’information touristique

Les entreprises les moins bien équipées en systèmes de sécurité sont les plus susceptibles d’être hackées. Mais il faut aussi prendre garde à la sensibilisation des employés. Un stockage des données peu sécurisé et une mauvaise gestion des accès et des mots de passe sont une menace directe. Et les pratiques dangereuses des salariés sont dues à une méconnaissance des risques. La mobilité et la multiplication des appareils connectés au réseau d’entreprise constituent des facteurs de risque. Les emails sont le principal mode de diffusion des malwares et ransomwares, et la méthode privilégiée pour les escroqueries financières ou le vol de mot de passe.
Voici les règles essentielles pour sécuriser son environnement informatique professionnel.

1 - Mettre en place une politique de sécurité
Résumer dans un document écrit et accessible à tous les règles de sécurité du système d'information de l’entreprise : les bonnes pratiques de sécurité de la téléphonie, du web et de la messagerie électronique ; les règles concernant le téléchargement et/ou l’installation de nouveaux logiciels ; comment bien choisir ses mots de passe, etc. ; les vulnérabilités du système informatique.

2 - Sensibiliser le personnel aux risques encourus
On ne le dira jamais assez : il faut en parler aux employés, aux partenaires, aux clients, aux fournisseurs, etc. La sensibilisation des collaborateurs aux risques de la cybercriminalité est primordiale. Les conséquences financières d’une cyberattaque peuvent être catastrophiques pour une entreprise, et sa première arme est l’éducation de ses employés.

3 - Sauvegarder ses données informatiques
Le patrimoine numérique d’une société est le socle de son activité. Les données capitales d’une entreprise doivent être centralisées et sauvegardées quotidiennement sur un serveur local (pour plus de contrôle) et distant en cas de sinistres physiques (vols/incendies/intempéries).

4 - Sécuriser le réseau d'entreprise
Les cyberattaques (ransomwares, malwares, phishing et autres virus) sont des agressions extérieures qu’il faut pouvoir bloquer avec un pare-feu et un proxy qui protègent les connexions web. La cybersécurité d’une entreprise passe aussi par la protection du réseau local, des accès wifi, de la messagerie électronique, ainsi que de tout accès distant.

5 - Protéger les terminaux mobiles
Il existe aujourd’hui des antivirus et des anti-malwares pour mobiles. Il faut également penser à activer le verrouillage automatique pour empêcher toute utilisation frauduleuse en cas de perte/vol.

Le nouveau Règlement Européen de Protection des Données Personnelles (RGPD) exige la mise en place d’une politique de protection de la vie privée. Il faut donc intégrer une clause de confidentialité dans les contrats de sous-traitance informatique avec les prestataires informatiques et fournisseurs Cloud (surtout depuis le vote du Cloud Act).

Les fichiers confidentiels d’une entreprise doivent à minima être encryptés lors de leur sauvegarde (le chiffrement des données considérées comme sensibles au regard de la loi est obligatoire). Ils doivent aussi être à accès limité aux personnes habilitées (connexion grâce à une authentification personnelle). Il faut par ailleurs que l’accès aux bureaux et aux serveurs informatiques soit contrôlé avec des digicodes et autres badges nominatifs pour les personnes habilitées.

Si, malgré toutes ces mesures, l’entreprise est victime d’une cyberattaque, il est possible de reprendre son activité sans encombres et sans payer de rançon. Pour cela, il importe de mettre en place un Plan de Reprise d’Activité grâce à un logiciel de sauvegarde spécialisé qui permet de restaurer toutes les données perdues ou encryptées en quelques heures.

Le professionnel du tourisme, même si ce n’est pas le cœur de son métier, doit donc connaître les principes de la sécurité informatique, les risques informatiques et les moyens de les pévenir, la réglementation sur l’utilisation des données. Il s’agit d’appréhender les règles de base à suivre en matière de traitement de l’information pour préserver l’activité de l’organisation.