Catégories
Actualité Hôtellerie

Consignes de cybersécurité essentielles pour protéger votre entreprise lorsque vous travaillez à distance

Il y a trois semaines, Marriott International a annoncé avoir subi une violation de données, mettant en danger les données personnelles de 5,2 millions de clients. Bien que ce nombre diminue par rapport à la violation de données de 500 millions de clients Marriott et Starwood fin 20182, le message est clair: les hôtels sont la cible de menaces et doivent se concentrer sur la protection des données de leurs employés et clients. Avec l'avènement de Covid-19, la cybersécurité de votre entreprise est plus à risque.

Alors que les employés du monde entier passent au travail à domicile, les dangers associés aux appareils mobiles, à l'accès à distance aux principaux systèmes commerciaux et aux mauvaises pratiques en ligne augmentent.

Bien que les gestionnaires se concentrent, on peut le comprendre, principalement sur le maintien à flot financier, il est important de faire de la cybersécurité une priorité. Les hacks résultant des identifiants de connexion des employés volés ou perdus peuvent avoir des impacts énormes, que vous soyez un petit hôtel indépendant ou un géant hôtelier international. Conformément aux normes de continuité des activités ISO 223014, la cybersécurité est cruciale pour la résilience de votre entreprise. Il est de votre responsabilité en tant qu'employeur de donner à vos employés les outils nécessaires pour se protéger, ce qui finira par protéger vos clients, votre réputation et vos résultats.

Nous avons organisé les principales mesures de traitement et d'atténuation des risques selon les lignes directrices suivantes:

Autorisation multifacteur (MFA)

L'autorisation à deux (2FA) ou à plusieurs facteurs est l'un des moyens les plus efficaces de prévenir les prises de contrôle de compte (ATO). Essentiellement, cela consiste à utiliser une ou plusieurs méthodes d'autorisation en plus d'un mot de passe pour vous connecter à votre compte. Les SMS sont plus sûrs que les e-mails comme deuxième facteur, car il est plus difficile d'accéder aux détails d'un téléphone qu'un mot de passe par e-mail.

Selon un article de Hospitality Technology, il est très probable qu'une récente violation dans une grande entreprise hôtelière ait été causée par une attaque de phishing qui a volé les informations d'identification de deux employés7. Les ATO ont montré une forte augmentation suite au virus. Selon le directeur de la sécurité des identités chez Microsoft, votre compte est plus de 99,9% moins susceptible d'être compromis si vous utilisez MFA8. Vous pouvez utiliser TwoFactorAuth.org pour rechercher et sélectionner des plates-formes prenant en charge 2FA à utiliser en tant qu'entreprise.

Mettre à jour, mettre à jour, mettre à jour

À mesure que des failles de sécurité potentielles sont détectées, signalées et corrigées par les plates-formes concernées, de nouvelles mises à jour sont régulièrement déployées. Renforcer votre cybersécurité est aussi simple que de vérifier et de mettre à jour constamment diverses applications. Encouragez activement votre équipe à mettre à jour toutes les applications qu'elle utilise. S'il y a une mise à jour sur une plate-forme cruciale utilisée dans votre entreprise, comme une plate-forme de partage de fichiers, une application de vidéoconférence ou un VPN, essayez d'envoyer un e-mail aux employés pour vous informer de la mise à jour.

Méfiez-vous des acams

Les escrocs profitent des craintes entourant le coronavirus en envoyant des courriels contenant des virus, des escroqueries et des informations erronées. Informez vos employés d'être vigilants et méfiants avec les courriels concernant COVID-19 leur demandant d'ouvrir un lien ou de télécharger un programme, même s'ils semblent provenir de leurs collègues ou d'autorités respectées comme l'OMS. Demandez à vos employés de partager des e-mails suspects avec le reste de l'équipe afin que tout le monde puisse les rechercher.

Réseaux privés virtuels (VPN)

Bien que votre entreprise utilise probablement déjà un VPN pour permettre aux employés d'accéder aux serveurs d'entreprise, il s'agit d'une étape cruciale pour la cybersécurité. Les VPN garantissent un niveau de sécurité et de sécurité plus élevé entre le travailleur distant et le serveur d'entreprise. Assurez-vous de configurer MFA (exploré dans la directive 1) pour que les employés accèdent au VPN et mettez-le à jour chaque fois que possible (directive 2). Assurez-vous que votre politique d'utilisation du VPN est claire, afin que votre équipe sache sur quelles applications elle ne doit pas l'utiliser.

Appareils et réseaux Wi-Fi privés approuvés par l'entreprise

Si vos employés ne travaillent pas sur des appareils émis par l'entreprise, assurez-vous de bien savoir quels appareils ils peuvent et ne peuvent pas utiliser pour travailler. Par exemple, l'utilisation d'appareils mobiles devrait être fortement déconseillée à des fins professionnelles, car ils sont susceptibles de se connecter automatiquement aux réseaux Wi-Fi publics s'ils quittent la maison.

Les réseaux Wi-Fi publics ouvrent vos employés et les données de votre entreprise aux menaces, en particulier lorsqu'ils sont utilisés pour accéder à votre VPN. Assurez-vous que vos employés utilisent uniquement le Wi-Fi privé et envisagez de leur fournir un logiciel antivirus et des pare-feu fiables s'ils ne les ont pas déjà.

Mesures de visioconférence

Bien que ces conseils soient adaptés aux utilisateurs de Zoom, des mesures similaires sont également possibles sur des alternatives telles que GoToMeeting, Cisco Webex, etc. À part la mise à jour constante (directive 2), essayez de changer votre ID de réunion personnel (PMI), car les infiltrés compilent des listes de PMI connus. Assurez-vous de définir des mots de passe pour les réunions importantes et envoyez les mots de passe séparément du PMI aussi près que possible de l'heure de la réunion. Profitez de la fonction de salle d’attente de Zoom, qui empêche les personnes de rejoindre l’appel avant l’hôte et vous permet de garder un œil sur les personnes qui souhaitent se joindre.

Une fois que la session a commencé avec les participants essentiels, verrouillez la réunion pour empêcher les infiltrés de se joindre une fois que tout le monde est distrait. Enfin, modifiez les paramètres d'appel pour ne permettre qu'une seule application à utiliser lors du partage de l'écran. Cela empêche les employés d'afficher accidentellement des informations sensibles ouvertes sur d'autres fenêtres lors du partage de leur écran.

Stockage de fichiers dans le cloud

Les outils de partage et de stockage de fichiers sur une plateforme Cloud / SaaS donnent à votre équipe un accès agile aux documents dans un environnement de télétravail. Si le serveur de votre entreprise a choisi une plate-forme de partage de fichiers, telle que OneDrive, rappelez aux employés qu'ils ne doivent pas utiliser d'autres serveurs comme Google Drive pour les fichiers d'entreprise.

Nous vous recommandons de confier à des personnes spécifiques la responsabilité de superviser les autorisations attribuées aux dossiers et documents stockés sur ces plateformes, en veillant à ce que seules les personnes disposant des informations d'identification correctes y aient accès. Les enregistrements sensibles ou réglementés (données personnelles, informations financières, etc.) doivent être cryptés à l'aide des technologies de gestion des droits relatifs à l'information (IRM). Ensuite, même une fois les documents téléchargés depuis le cloud, les données sont toujours protégées et contrôlées. IRM peut même révoquer l'accès une fois que les documents n'ont plus besoin d'être disponibles9.

Politiques d'utilisation claires et assistance aux employés

Les directives ci-dessus ne seront utiles que si elles sont correctement communiquées à votre équipe. Décidez quelles plates-formes doivent être utilisées pour chaque fonction commerciale (VPN, partage de fichiers, vidéoconférence, etc.) et informez tout le monde que seules celles-ci peuvent être utilisées à des fins professionnelles.

Soyez compréhensif avec vos employés, car beaucoup pourraient avoir du mal à apprendre rapidement les nouvelles technologies et les directives de travail à distance dans une situation déjà stressante. Dans la mesure du possible, partagez des conseils et des astuces pour vos employés qui ne connaissent pas des technologies spécifiques, et partagez cette liste de meilleures pratiques.

Indiquez clairement qui votre équipe doit informer si elle soupçonne que leurs données ont été violées. Favoriser un environnement positif encourageant les membres à parler de ces soupçons, même s'ils se sentent en faute. C'est le seul moyen d'atténuer les risques potentiels de propagation à l'échelle de l'entreprise et, finalement, d'affecter votre résultat net.

Nous vous encourageons à rester vigilants et à vous concentrer sur les solutions de cybersécurité pour vos pratiques de continuation commerciale. Veuillez nous contacter à info@globalassetsolutions.com; nous serions ravis de vous proposer notre assistance et d'élaborer sur mesure un plan d'action et de mise en œuvre pour traverser ces temps mouvementés.


Écrit par: Vani van Nielen, Larina Maira Laube, Eliana Levine, Zhaoyu Zhu et Paloma Guerra

Etudiants et diplômés de l'Ecole Hôtelière de Lausanne

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *