La banque de développement du Canada suggère une liste de 10 question qu’une entreprise doit se poser pour rehausser la sécurité des données
10 questions pour hausser la sécurité des technologies de l’entreprise
http://www.bdc.ca/FR/articles-outils/technologie/investir-technologie/Pages/securite-informatique-comment-proteger-vos-technologies.aspx. Les emplyés d’une entreprise sont identifiés comme le maillon faible dans la sécurité. Les pirates demeurent une menace concrête, mais les bris de sécurité restent, trop souvent, l’apanage des employés. Par courriel, le transfert d’informations personnelle d’une personne à un autre destinataire constitue un bris de sécurité.
Magazine HRI - Sécurité : ne pas agir a un coût - J. Marsan A. Fortier
1. 56 HIVER 2015 | HÔTELS, RESTAURANTS & INSTITUTIONS
Chronique technologies
Dans la restauration
La chaîne de restauration P.F. Chang’s a été
mentionnée sur le site de CNN Money avec une
référence peu flatteuse1
. En effet, plus de 33
restaurants de la chaîne situés aux États-Unis
exposaient leurs clients à un possible vol des
informations de leurs cartes de crédit, car des
pirates informatiques ont accédé à certains
de leurs ordinateurs. Cette nouvelle s’est vite
propagée dans les médias. Le magazine Forbes
a ainsi classé P.F. Chang’s dans la peu reluisante
liste des entreprises ayant connu des incidents
majeurs de sécurité en 20142
. Dairy Queen figurait
également sur cette liste avec une possibilité
de fuite de plus de 600 000 données reliées
aux cartes de débit et de crédit de ses clients.
Pendant plus de 80 jours, le franchiseur Jimmy
John's, spécialisé dans la vente de sandwiches,
a aussi trouvé sa place dans la liste avec une
brèche de sécurité qui a permis d’accéder aux
informations de cartes de crédit des clients dans
216 de ses succursales3
.
Dans l’hôtellerie
Le cas du groupe hôtelier américain Wyndham
dépeint les impacts bien réels sur le cours
des activités d’une entreprise après un bris de
sécurité4
. Le groupe s’expose à des poursuites
en justice, à une chute importante de l’action à la
Bourse, à l’interruption de ses activités et à une
tache importante à sa réputation. Dans le cas
présent, plus de 619 000 numéros de cartes de
crédit ont été volés. Si les impacts vous semblent
justifiés, imaginez les impacts pour le détaillant
Target où le nombre s’élève à 100 000 000 de
comptes clients ! Parmi les leçons apprises par
Wyndham, on retrouve la nécessité de former le
personnel aux meilleures pratiques en sécurité,
car il joue un rôle clé dans l’application des règles
de sécurité. David Durko de PrivacyAtlas identifie
les hôtels et les motels comme des proies de
choix pour l’accès aux données personnelles5
. La
nature des opérations dans cette industrie amène
effectivement à obtenir une quantité importante
de données sur la clientèle. Durko affirme
que des employés insouciants s’avèrent aussi
dommageables qu’un accès forcé par des pirates
informatiques.
Par où commencer ?
La banque de développement du Canada
suggère une liste de dix questions qu’une
entreprise doit se poser pour rehausser la
sécurité des données6
. Les employés d’une
Par JOSIANE MARSAN, Ph. D.,
professeure agrégée en systèmes
d’information organisationnels,
Université Laval et
ALAIN FORTIER, MBA, conseiller
en stratégies d’entreprise et
performance organisationnelle
Sécurité :
ne pas agir
a un coût
Grâce aux technologies de l’information, les entreprises
peuvent stocker des informations personnelles sur leur
clientèle plus facilement qu’avant. Cette capacité offre
la possibilité d’analyser les données pour améliorer
les services rendus, mais amène son lot de précautions
à prendre pour éviter des ennuis quant à la réputation
et au maintien des activités. Les entreprises en HRI ne
font pas exception à la règle. Une simple recherche sur
Internet permet d’apprendre qu’un nombre considérable
d’événements fâcheux sont survenus au cours des dernières
années. Les exemples les plus saisissants arrivent souvent
chez nos voisins du sud.
12343567890523455646789
12
3
4567 234 1234 0907 125 4875 65
9832145123014254725481004688110078436521258196581254968514514571
2. entreprise sont identifiés comme le maillon
faible dans la sécurité. Les pirates informatiques
demeurent une menace concrète, mais les bris
de sécurité restent souvent la responsabilité
des employés. Par exemple, le transfert
d’informations personnelles par courriel d’une
personne à une autre constitue un bris de
sécurité. Aussi, lorsqu’un numéro de carte
de crédit est saisi sur un terminal, il peut être
accessible à tous les regards mal intentionnés.
Dans le quotidien, la complexité des mots de
passe est sous-estimée, alors qu’elle constitue
une mesure de sécurité minimale. La simplicité
d’un mot de passe ou l’absence complète
d’identification sur un poste de travail accélère
certes l’accès pour le personnel, mais aussi pour
des individus malhonnêtes. De plus, la possibilité
d’installer librement des logiciels sur un poste
de travail (par exemple un ordinateur à l’accueil)
laisse place à l’installation de virus ou de maliciels
pouvant transférer vers l’extérieur des données
stockées à l’interne.
En somme, il apparaît nécessaire pour les
entreprises de l’industrie des HRI d’agir
maintenant pour éviter les bris de sécurité.
La formation des employés et de la direction
s’imposent déjà comme un incontournable.
Une étude récente démontre qu’il faut
désormais faire un effort supplémentaire, car la
responsabilisation des employés concernant la
sécurité serait maximisée lorsqu’ils perçoivent
que leurs actions sont surveillées et qu’ils seront
évalués en conséquence7
. Un programme de
formation accompagné d’un plan d’évaluation
semble une avenue prometteuse pour vous
prémunir contre les bris de sécurité. L’embauche
d’un consultant professionnel en sécurité
engagera des déboursés, mais cela restera faible
relativement aux coûts d’un bris de sécurité8
.
1
Eat at P.F. Chang's? Your card data may have been stolen http://
money.cnn.com/2014/08/04/news/companies/pf-changs-data-theft/
2
The Big Data Breaches of 2014 http://www.forbes.com/sites/
moneybuilder/2015/01/13/the-big-data-breaches-of-2014/
3
Data Breach Bulletin: Supervalu, Jimmy John's, Shellshock, American
Family Care http://www.forbes.com/sites/katevinton/2014/09/30/
data-breach-bulletin-supervalu-jimmy-johns-shellshock-american-
family-care/
4
Wyndham – A Case Study in Cybersecurity : How the cost of a
relatively small breach can rival that of a major hack attack http://
www.metrocorpcounsel.com/articles/31991/wyndham-%E2%80%93-
case-study-cybersecurity-how-cost-relatively-small-breach-can-rival-
major-h
5
Ex-Insider Sounds Alarm On Hotel And Restaurant Data Security
http://www.forbes.com/sites/adamtanner/2014/05/02/ex-insider-
sounds-alarm-on-hotel-and-restaurant-data-security/
6
10 questions pour hausser la sécurité des technologies de l’entreprise
http://www.bdc.ca/FR/articles-outils/technologie/investir-
technologie/Pages/securite-informatique-comment-proteger-vos-
technologies.aspx
7
Increasing Accountability Through User-Interface Design Artifacts:
A New Approach to Addressing the Problem of Access-Policy
Violations Vance, Anthony Osborn; Lowry, Paul Benjamin; and
Eggett, Dennis. 2015. MIS Quarterly, (39: 2) pp. 345-366.
8
10 questions pour hausser la sécurité des technologies de l’entreprise
http://www.bdc.ca/FR/articles-outils/technologie/investir-
technologie/Pages/securite-informatique-comment-proteger-
vos-technologies.aspx