Espar System

VISHING

Les internautes étant de plus en plus avertis du phénomène de phishing, les cyberfraudeurs ont développé une nouvelle technique : le vishing, aussi appelé hameçonnage vocal.

Comment cela fonctionne-t-il ?

Le vishing utilise la technologie VoIP (voix sur IP) dans le but d’amener quelqu’un à divulguer des informations personnelles et / ou financières. Les fraudeurs emploient deux méthodes différentes.

Première méthode

Les victimes potentielles sont appelées au hasard par un automate téléphonique dans une région géographique déterminée. Lorsque vous décrochez, un message préenregistré supposé provenir de votre banque vous prévient que des opérations inhabituelles ont été réalisées sur votre compte bancaire. Vous êtes ensuite invités à appeler un numéro de téléphone, souvent surtaxé, pour vérifier la situation de votre compte. Ce numéro correspond à une boîte vocale, qui vous demande alors de fournir vos identifiants bancaires, ou les seize chiffres et la date de validité de votre carte bancaire. Les pirates disposent alors des informations suffisantes pour effectuer des achats frauduleux sur Internet.

Seconde méthode

Une personne vous appelle en se faisant passer pour quelqu’un du département de sécurité Visa, MasterCard ou votre établissement bancaire. Elle vous signale que votre carte bancaire a été utilisée pour un achat douteux et vous demande si vous êtes à l’origine de l’opération. Face à votre réponse négative, cette personne attribue un numéro de fraude, donnant ainsi à l’appel un aspect réaliste. Elle vous demande ensuite de lui communiquer les coordonnées de votre carte bancaire pour vérifier qu’elle est toujours en votre possession. Une fois ces informations transmises, la personne vous invite à la rappeler si vous avez d’autres questions et raccroche.

Comment s’en protéger ?

Les fraudeurs utilisent la vulnérabilité psychologique du consommateur en créant un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. Si vous recevez un message vous demandant de rappeler un numéro, ne le composez pas. Cherchez le numéro qui vous a été donné par l’émetteur de votre carte bancaire et utilisez-le.

Gardez aussi à l’esprit qu’aucune banque ne vous demande par email, fax ou téléphone ce genre de renseignements. En cas de doute, contactez votre banque dans les plus brefs délais. Si vous avez réussi à déjouer une tentative de fraude de ce type, il convient aussi de prévenir votre établissement bancaire.

read more

Le consentement de l’internaute

Il n’est plus question de supposer le consentement des internautes par des artifices juridiques, par un simple lien pointant vers une politique de vie privée ou par des cases d’acceptation pré-cochées par défaut. Toute entité qui procède à la collecte et au traitement de données personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus.

Attention, toutefois : le recueil du consentement des personnes n’est absolument pas nécessaire dans tous les cas de collecte de données à caractère personnel. Si le RGPD insiste sur la question du consentement, c’est essentiellement sur les modalités de recueil de celui-ci, qui sont précisées : libre, explicite, spécifique, informé.

Cette collecte de données peut reposer sur d’autres bases juridiques, comme l’exécution d’un contrat, l’intérêt légitime du responsable de traitement, le respect d’une obligation légale, etc. Le recueil du consentement est seulement une des bases possibles pour collecter des données personnelles de manière légale, mais pas la seule et surtout pas nécessairement la plus utilisée.

Par exemple, si le consentement « est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples », explique le RGPD.

Bien entendu, outre la nécessité de matérialiser l’adhésion en laissant à l’internaute le soin de cocher lui-même la case requise (« opt in »), le Règlement rappelle que cette acceptation peut être retirée à tout moment, sans qu’il ne soit besoin de donner la moindre justification. Le fait de retirer son accord n’affecte en aucune façon le traitement qui a été opéré pendant la période où il a été donné.

read more

RGPD & Cybersécurité … à l’aube de 2020

RGPD & Cybersécurité …
à l’aube de 2020

Pas de RGPD sans cybersécurité !
Avec ce règlement Européen, les entreprises doivent garantir le respect de la vie privée des personnes dont elles possèdent les données. La loi les obligeant à se prémunir contre le vol ou la fuite des données personnelles qu’elles détiennent par la mise en place de dispositifs de cybersécurité (chiffrement, sécurisation des postes de travail et des réseaux, politique de mot de passe…). Et ce, quelles que soient leur taille et leur sensibilité au cyber-risque. Ainsi, 18 mois après sa mise en application, le RGPD est-il parvenu à remplir ses objectifs ? Un point d’étape s’impose pour nos métiers des CHRD.

Rappels sur le RGPD Le RGPD (ou en anglais « General Data Protection Regulation » ou GDPR) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Née de la volonté de protéger les citoyens d’actes malveillants et /ou d’usages commerciaux abusifs, ce règlement ambitionne de leur donner plus d’autonomie sur leurs données personnelles. Pour mémoire, les entreprises devaient s’y être préparées en amont afin d’être en conformité à partir du 25 mai 2018.

L’objectif de ce règlement est bien de contraindre les entreprises à instaurer des systèmes fiables qui permettront de garantir la sécurité et le contrôle des données personnelles des consommateurs. En France, régi par la CNIL (Commission Nationale de l’Informatique et des Libertés), le RGPD permet d’harmoniser la législation au sein de l’Union Européenne.

Le principe d’« accountability » ou responsabilisation est un des grands changements de ce règlement. Chaque chef d’entreprise doit gérer sa propre conformité et doit être en mesure d’en fournir la preuve. Trop nombreux sont encore ceux qui imaginent qu’ils ne sont pas concernés ou laisse entendre que le travail a été fait par un prestataire.

Or, c’est avec ces croyances que le risque augmente : en effet si la personne morale est directement en ligne de mire, rappelons que ces sanctions administratives peuvent être complétées par des condamnations pénales (articles 226-16 et suiv. et R 625-10 et suiv. du Code pénal) visant, dans certains cas, les dirigeants à titre personnel.

Aujourd’hui à l’aube de 2020, la CNIL est bien décidée à mettre un terme à une période de clémence qu’elle estime avoir suffisamment fait durer pour passer à l’étape suivante : renforcement des contrôles et sanctions…. La mise en conformité des entreprises et des organisations est désormais une nécessité absolue.

Alors, comment faire ? C’est un travail de fond à réaliser dans un temps long mais l’essentiel est de « prendre date » afin de pouvoir prouver que vous avez engagé vos chantiers de mise en conformité, avec une priorité : réduire vos risques !

Quelques exemples d’interrogations pour le secteur des CHRD :
– Les données que vous stockez en interne ou en externe sont-elles vraiment protégées ?
– Les données de vos clients et de vos salariés sont-elles stockées chezun de vos sous-traitants ? dans quel pays ? en Europe ?

– Demandez-vous à vos clients un consentement explicite pour certains de vos traitements qui seront fait de leurs données (newsletter par exemple) ?

– Vos collaborateurs sont-ils formés ou à minima sensibilisés aux bases de la cybersécurité ?
– Vos terminaux informatiques (ordinateurs, tablettes et smartphones) sont-ils équipés d’une suite de sécurité? (Un simple antivirus ne suffit plus)

 

Particulièrement dans l’hôtellerie, l’écosystème est prépondérant. Vous devez vous assurer que tous les prestataires accédant à vos données clients vous garantissent leur sécurité (Clauses contractuelles et process techniques).

 

PMS, Channel manager, moteur de résa, yield management, e-réputation, informaticien, agence web, vidéosurveillance, il vous faut obtenir de vos partenaires la garantie de leur niveau de conformité au RGPD et de protection aux risques cyber.

 

Concrètement : Nettoyez vos bases de données (fichier clients, salariés…) L’entretien de vos contacts a toujours fait partie des recommandations de la CNIL. Le RGPD impose aux entreprises de s’engager sur une durée de conservation des données à caractère personnel.

 

C’est aussi mieux gérer votre entreprise: le règlement exige que les données soient pertinentes par rapport à l’objectif pour lequel vous les collectez.

 

Respectez ces durées de conservation en procédant par exemple à des nettoyages réguliers de votre cardex et de vos fi ches de police.

 

Autre exemple : les données issues de l’encodage de vos clefs pour l’accès aux chambres et aux locaux ainsi que le contrôle des horaires du personnel pourront être conservées 3 mois s’agissant des informations relatives aux déplacements et 5 ans s’agissant des horaires (application du code du travail).

 

Documentez votre conformité Les déclarations à la CNIL ne sont plus de rigueur. A contrario, vous devez apporter la preuve à tout moment du bon respect des règles relatives à la protection des données : mise en place d’un registre des activités de traitement, registre de violation de données, process de sécurité, sensibilisation des collaborateurs…

 

Un plan d’actions s’impose : pour plus d’efficacité, les équipes spécialisées d’Espar6 vous accompagne à travers E6-RGPD, la plateforme numérique de pilotage de votre mise en conformité.

 

Sécurisez votre entreprise L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité de vos entreprises. Certains d’entre vous, qu’Espar6 accompagne, se reconnaitront, ayant vécu avec leurs équipes des moments particulièrement difficile ces derniers mois…

 

Ainsi, pour mettre en place une cybersécurité efficace donnant à votre activité une résilience optimale : Sauvegardez tous vos équipements sans restriction, installez des outils de protection professionnels. Quant aux systèmes « gratuits », on sait que si c’est gratuit… c’est vous le produit ! Et faites-vous accompagner pour simplement assurer la pérennité de vos activités en cas de sinistre…

 

Conclusion La donnée, un actif des plus critiques pour vos entreprises Les cybermenaces sont bien réelles et ne cessent d’évoluer. Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur. La préparation est donc essentielle même pour les plus petits d’entre vous…

 

Dans ce contexte de cyber risques omniprésents, le RGPD est une occasion forte de se poser les bonnes questions sur son activité et ses process mais cela peut devenir aussi un réel avantage concurrentiel.

 

En ayant une gestion rigoureuse de vos données, vous gagnez donc en efficacité et en productivité !

 

Une opportunité de sceller une relation de confiance avec vos interlocuteurs (clients, partenaires, fournisseurs, collaborateurs…) et d’améliorer votre image de marque !

 

Espar 6 est une société de services et de technologies dont la mission est d’assurer la cyber-sécurité des PME européennes. Nous améliorons drastiquement la protection des ordinateurs de nos clients et nous formons les salariés à devenir plus vigilants en matière de cyber sécurité. Notre équipe d’ingénieurs, d’experts en cybersécurité néralement sur l’amélioration du niveau de la lutte contre la cyber criminalité en Europe. Espar 6 a développé une plateforme numérique collaborative E6-RGPD pour accompagner les entreprises dans leur programme de mise en conformité en leur donnant « autonomie et cadre réglementaire ».

 


Contact : Espar System SAS
– Mail : contact@espar6.com
– site web :www.espar6.com
Tél : +33 (0) 987 388 512
Président : Olivier GOURIO, ex CEO & Fondateur du Groupe Hôtels & Patrimoine sécurité

read more

HTTPS….

Qu’est-ce qu’un site web sécurisé / non sécurisé ?

L’adresse d’un site Internet traditionnel (sécurisé…) prend la forme suivante :

· Que cela veut-il dire ?

· A quels types de sites sont destinées ces notifications ?

· Et quels sont les enjeux pour les utilisateurs, les propriétaires et les créateurs de sites web ?

1) Qu’est-ce qu’un site non sécurisé ?

Au protocole http s’ajoute un « s » pour « Secure » donnant HTTPS (« HyperText Transfer Protocol Secure », soit « Protocole de Transfert Hypertexte Sécurisé »).

En effet, le gros défaut du protocole HTTP, c’est que toutes vos données transitent en clair, notamment sur des réseaux non cryptés comme le réseau Wi-Fi.

Imaginons que le site de votre banque soit en « http:// »….

Vous vous connectez en saisissant votre identifiant et votre mot de passe.

La connexion n’étant pas sécurisée, un pirate informatique espionnant votre réseau peut tout à fait récupérer directement ces informations

Vous saisissez le problème ?

HTTPS ajoute une couche de chiffrement, c’est-à-dire que les données qui vont transiter seront cryptées. C’est donc une excellente chose pour la sécurité de l’internaute.

Ainsi la propagation de logiciels malveillants ( Malwares en anglais) sera freinée, permettant ainsi une meilleure sécurité du web.

Ø En résumé, HTTPS permet de crypter les informations sensibles transmises via un formulaire et d’authentifier un site.

2) Dans quels cas migrer en HTTPS ?

Dans tous les cas !!

Pour les sites de banques, de vente en ligne, de collectivités, ou tout autre comprenant des données sensibles, cela tombe sous le sens. Les internautes vont d’ailleurs de moins en moins sur les sites e-commerce non sécurisés. Après, on ne vous dira pas le contraire, sécuriser un petit site vitrine peut sembler sans grand intérêt.

Mais Google ne laisse pas beaucoup le choix aux propriétaires de sites web. Dans les mois à venir, la mention « non sécurisée » apparaîtra en rouge dans votre navigateur…

Négliger la sécurisation de son site web ne pourra avoir qu’un impact négatif.

A l’heure actuelle et plus encore à l’avenir, créer un site Internet non sécurisé pour sa société ou son organisation est un mauvais choix stratégique.

Car c’est bien de l’image de votre organisation dont on parle

Pensez à la sécurité de vos utilisateurs / clients, elle n’a pas de prix.

3) Quel risque pour votre référencement ?

Google a annoncé que le HTTPS est désormais un critère utilisé dans son algorithme de référencement d’un site internet, concrètement, le fait de ne pas être HTTPS doit donc pénaliser votre référencement naturel.

Il paraît aujourd’hui évident que d’ici quelques mois, un site qui n’aura pas migré en HTTPS aura quasiment disparu des moteurs de recherche.

4) Comment migrer en HTTPS ?

Techniquement, passer de HTTP à HTTPS revient à faire une migration de site, donc à créer un nouveau site dans lequel sont migrés les contenus des différentes pages.

Si vous avez fait réaliser votre site internet par une agence web ou un freelance, il va vous falloir vous adresser à lui pour qu’il réalise cette opération.

5) Les différentes étapes pour migrer votre site internet

A. Acheter un certificat SSL

Votre gestionnaire de nom de domaine peut vous proposer dans son offre un certificat SSL adapté à votre situation. A vous de choisir et de comparer éventuellement avec des concurrents.

B. Activer le HTTPS sur vos serveurs

En fonction de votre serveur web et du langage utilisé, il vous faudra activer le HTTPS avec votre certificat SSL pour que les données cryptées puissent passer.

C. S’assurer que les liens internes de votre site internet vont fonctionner

Vérifier que les liens entre vos pages web sont sous format relatif.

C’est à dire qu’ils ressemblent à “/catégorie/page-produit” et non pas sous un format classique d’adresse URL tels que “http://www.monsite.com/catégorie/page-produit” pour que lorsque votre site internet passera en HTTPS, ces liens fonctionneront toujours.

D. Supprimer le contenu mixte potentiel : images, scripts qui proviennent de site http

Les contenus de votre site internet qui font appel à des ressources externes tels que les images, les vidéos YouTube ou Vidéo ou bien des plugins et scripts pour avoir des fonctionnalités spécifiques peuvent constituer du contenu mixte.

Assurez vous qu’ils proposent du HTTPs et changez cela dès maintenant.

E. Rediriger le HTTP vers le HTTPS

Lorsque vous allez passer votre site web en HTTPS, toutes les liens provenant de site externe vers votre site internet contiendront toujours HTTP. Il faudra donc réaliser des redirections 301 ( permanente ) sur votre serveur de toutes les adresse URL existante HTTP vers celles en HTTPS pour éviter de perdre le trafic généré aujourd’hui.

F. Ajouter une URL canonique en HTTPS pour simplifier la migration pour Google

L’URL canonique correspond à l’adresse finale de votre page web. Pour le passage au HTTPS, ajouter l’url canonique en HTTPS pour chacune des pages web de votre site internet.

G. Après la migration de votre site web vers le HTTPS, vérifiez bien que votre certificat SSL soit effectif

SSL Labs va vous permettre simplement de vérifier le niveau de sécurité de votre site HTTPS. Il vous donnera une note et vous expliquer s’il y’a des choses à modifier ou corriger pour obtenir la meilleure note de A

H. Enregistrer de nouveau votre site HTTPS sur Google Webmaster

Si vous utilisez Google Webmaster, soumettez votre site internet en HTTPS de nouveau avec une nouvelle propriété. Votre site internet HTTPs est considéré par les moteurs de recherches comme un nouveau site.

I. Modifier dans la mesure du possible toutes les adresses et mentions à vos anciennes pages HTTP

Prenez dans l’ordre vos pages de réseaux sociaux, vos campagnes d’emailing ou marketing payantes ( Google Adwords ou Facebook ) et au fil du temps si vous voyez d’autres références à vos pages web HTTP, faites le.

read more

RGPD – Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

– Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

– Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

– Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment le département de la conciergerie dans le secteur du luxe.

La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

– Traitées de manière licite, loyale, transparente au regard de la personne concernée

– Collectées pour des finalités déterminées, explicites et légitimes

– Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

– Exactes et, si nécessaires, tenues à jour

– Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

– Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

Quelles obligations au titre du RGPD ?

(Quelques exemples)

A) Des mentions d’informations :

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

– Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

– Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage…

– La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

· de l’identité et des coordonnées du responsable du traitement

· le cas échéant des coordonnées du DPO

· des finalités du traitement et la base juridique du traitement

· les destinataires ou les catégories de destinataires des données à caractère personnel

· les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie:

– Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

B) Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme.

Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité…

———————————————————————————————————————–

Nota : nos experts sont à votre écoute

La nouvelle plateforme E6 – RGPD vous accompagne dans votre mise en conformité…

Demandez des détails

read more

Dossier RGPD (Journal Nous & l’UMIH – n°66 – Juin 2018)

read more

La mise en conformité RGPD induit une protection des données de la part des entreprises

read more

Laurent Duc nous parle du RGPD

read more