Cybersécurité : comment sécuriser ses moyens de paiement ?

Imaginez que votre système de réservation soit victime d’une cyber-attaque ou d’un détournement de paiement. Pas de panique : il existe des solutions concrètes pour anticiper, sécuriser et réagir efficacement.

Dans cet épisode, nous recevons Emmanuelle Houdet, DPO externe et associée du cabinet PiaLab, pour faire le point sur les bonnes pratiques à adopter. Assurance cyber, formation des équipes, hygiène numérique, choix de plateforme de paiement, sauvegardes… Emmanuelle nous guide pas à pas pour renforcer la sécurité de nos activités en ligne.

Tristan : « Imaginez que vous soyez confronté à une cyberattaque ou à un problème de détournement de paiement en ligne. Pas de panique, personne n’y échappe, mais surtout, il existe de nombreuses solutions pour prévenir et gérer ce type d’événement. Et gardez bien en tête que vous êtes victime et de fait, pas responsable. »
Pour nous guider dans cette démarche aujourd’hui, nous avons le plaisir d’accueillir Emmanuelle Houdet, DPO externe et associée du cabinet Pia Lab, cabinet de conseil et institut de formation spécialisé en conformité RGPD. Bonjour Emmanuelle ! »

Emmanuelle : « Bonjour Tristan. »

Tristan : « Alors pour commencer, Emmanuelle, nous le disions en introduction, il faudrait désacraliser le phénomène de cyberattaque. Pourquoi déjà ? »

Emmanuelle : « Oui, j’en suis convaincue, c’est très important de désacraliser les cyberattaques pour qu’on ose s’en parler. Qu’on ose se le dire, parce que malheureusement, aujourd’hui, la cyberattaque, ça touche absolument tout le monde. Alors c’est vrai que le terme peut impressionner.
Mais comme on va le voir, il y a quelques conseils assez basiques qu’on peut suivre pour déjà se mettre à l’abri. Et enfin, c’est vraiment important à noter, mais en Europe et particulièrement en France, on est quand même bien accompagnés. On a accès à de nombreuses ressources, donc il ne faut pas s’en priver. »

Tristan : « Alors avant d’être victime, votre mot d’ordre, c’est anticipation. Comment anticiper une attaque ? »

Emmanuelle : « C’est la question. Pour anticiper une attaque, il y a beaucoup de choses qu’on peut mettre en place pour sécuriser son système d’information. Si on doit se contenter de cinq conseils…
Ce que je vous propose, dans un premier temps, et c’est pas le conseil qu’on préfère entendre, c’est de choisir une bonne assurance cyber. C’est pas le conseil qu’on préfère entendre parce que ça veut dire qu’on n’a pas pu échapper à l’incident, on n’a pas pu échapper à la crise. Mais le fait d’avoir une bonne assurance, ça permet de rapidement se remettre sur pied.
C’est vrai qu’une cyberattaque, ça peut rapidement coûter cher. Si on prend l’exemple d’un rançongiciel, donc tout ou partie de mes données sont cryptées, je ne peux plus travailler, et en plus on me demande une rançon. Dans ce type de cyberattaque assez classique, je vais devoir probablement payer la rançon.
Alors, c’est jamais une bonne idée, mais peut-être que je n’aurai pas d’autre choix que de le faire. Je vais aussi avoir des coûts d’intervention technique pour essayer de récupérer mes données. Je vais bien sûr avoir la perte financière, parce que je ne vais pas pouvoir travailler pendant un certain temps.
Je vais avoir des primes d’assurance qui vont probablement augmenter. Je vais avoir tout le coût de la communication… Enfin voilà, on comprend bien que ça peut rapidement coûter cher. Donc c’est important de se protéger en ayant une bonne assurance. »

Tristan : « Alors justement, attention, c’est ce qu’on dit, parce que toutes les assurances ne garantissent pas le même niveau de couverture et ne prennent pas en charge les mêmes risques. Comment je dois la choisir ? »

Emmanuelle : « Alors l’assureur va nous guider là-dedans. Pour bien s’assurer, il faut assurer ce qui a de la valeur pour nous. Donc identifier dans notre système productif ce dont on a besoin. Typiquement, un service de paiement pour de la réservation, ça peut être quelque chose qui a de la valeur pour moi, parce que c’est ce qui permet à mes clients de venir chez moi.
Donc j’assure ce qui a de la valeur. L’assureur me guide. Et ce qui est vraiment très bien quand l’assureur me guide, c’est qu’il va me donner une checklist, un cahier des charges de ce que je dois mettre en place chez moi pour que lui accepte de m’assurer.
Donc ça va déjà me propulser aussi dans cette démarche de sécurisation de mes systèmes d’information.
Mon deuxième conseil, qui va directement dans cette ligne de sécurisation, c’est celui de se former. Se former et sensibiliser les équipes. C’est absolument primordial et c’est relativement simple, parce qu’on doit vraiment noter qu’on a accès en ligne à de nombreuses ressources gratuites et très bien faites.
Si on devait en citer que deux, on pourrait citer le MOOC de l’ANSSI, l’Agence nationale de sécurité des systèmes d’information, qui est très complet, ou le MOOC de la CNIL, avec un module sur la cybersécurité qui est aussi très complet.
Ça prend du temps, c’est vrai. C’est quelques heures de formation à mettre de côté. Tout le monde ne peut pas forcément le faire, donc on a aussi d’autres formules qui vont être plus légères, qu’on peut faire au quotidien, avec des choses un peu « gamifiées » aussi, qui peuvent être plus ludiques pour les équipes.
Mais vraiment, c’est important de se poser cette question-là : comment je me forme et comment je sensibilise, en ayant toujours en tête que le niveau de ma sécurité réelle, ce sera le niveau de la personne la moins sensibilisée à la cyber. Donc le maillon de la chaîne le plus faible, ce sera celui-là qui déterminera le réel niveau de ma sécurité. Et à partir du moment où je suis formée, je sais comment réagir, je sais ce qu’il faut faire, je peux déjà anticiper. »

Tristan : « Il y a un conseil numéro 3 aussi. »

Emmanuelle : « C’est celui d’adopter les bonnes mesures techniques et organisationnelles basiques en termes de sécurité. On appelle ça l’hygiène numérique.
Donc c’est vraiment ce que le bon sens me dicte pour avoir des habitudes de sécurité qui me permettent de travailler en toute confiance. Si je ne dois prendre qu’un exemple, et celui-ci, j’insiste énormément parce qu’il nous concerne tous, avoir un mot de passe unique pour chaque plateforme.
C’est-à-dire que si je me connecte sur une plateforme A avec mon mot de passe A, quand je me connecte sur la plateforme B, je ne vais pas réutiliser ce mot de passe A.
Pourquoi ? Si j’ai une fuite de données sur la plateforme A et que ce mot de passe a été réutilisé, je deviens vulnérable sur toutes les autres plateformes.
Donc c’est vraiment important d’avoir un mot de passe unique pour chaque plateforme, autant professionnellement que personnellement. C’est vrai que c’est du travail. Je pense que tous les auditeurs se disent : « Oh là là, tous ces mots de passe que j’ai en commun à droite à gauche… » C’est vrai que c’est du travail de le faire.
Mais une fois que c’est fait, je vous assure qu’on est vraiment beaucoup plus tranquille. D’un point de vue professionnel, sur la sécurisation des paiements, je dois mettre en place un environnement autour du paiement sécurisé pour mon client.
Donc cette hygiène numérique personnelle est aussi valable à titre professionnel, pour vraiment être plus serein.

Tristan : « Il y a aussi un élément très important à ne pas négliger, c’est le choix de la plateforme de paiement. »

Emmanuelle : « Tout à fait. Aujourd’hui, les plateformes de paiement sont toutes très douées en termes de communication, avec de beaux sites et puis des contrats qu’on ne lit jamais. Pour autant, elles ne se valent pas toutes.
Si on devait prendre qu’un seul exemple, ce serait celui de la communication des factures. Par exemple, est-ce que le client peut accéder lui-même à sa facture en s’identifiant sur un espace sécurisé avec ce fameux identifiant et mot de passe qu’il aura choisis ?
De façon à s’assurer, au moment de la récupération de la facture, que le RIB de mon établissement, par exemple, ne sera pas modifié, ce qui me permettra de pouvoir bien encaisser le paiement.
Est-ce que ces informations de paiement, ensuite, seront bien enregistrées de façon sécurisée, conservées le temps nécessaire à gérer le paiement, et pas plus ?
On comprend bien qu’autour de cette plateforme de paiement, il y a beaucoup d’éléments techniques qui vont m’assurer que la plateforme est sécurisée.
Alors comment choisir la bonne ? Comment s’y retrouver quand on n’est pas spécialiste de la sécurité des systèmes d’information ? Je pense que le plus efficace, c’est d’aller regarder quelles sont les normes et les certifications auxquelles la plateforme s’est soumise. C’est vraiment très important, parce que ça nous garantit que des experts externes sont venus mettre le tampon disant « Oui, cette plateforme est digne de confiance ».
Si on devait en citer que deux, on peut parler de la norme de sécurité de l’industrie des cartes de paiement. Elle n’est pas encore obligatoire en France, pourtant c’est quand même assez basique.
Vous la retrouverez en voyant le sigle PCI DSS sur la plateforme qui aura décidé d’obéir à cette norme. Et on a aussi la certification ISO 27001 qui garantit que l’ensemble du système d’information de la structure est sécurisé.
Le dernier conseil, ce serait d’absolument, absolument sécuriser ses plateformes. On l’a vu, on n’a pas besoin d’être un expert de la sécurité des systèmes d’information pour pouvoir travailler relativement sereinement.
S’il y a un seul point sur lequel ça vaut vraiment le coup de s’intéresser à la technique, ce sera celui des sauvegardes.
Parce que comme on l’a dit, si je n’ai pas pu éviter l’incident, si malheureusement je suis victime d’une cyberattaque, mon assurance va m’aider à me relever d’un point de vue financier, et mes sauvegardes vont me permettre de reconstruire le château.
Donc finalement, même si j’ai tout perdu, je peux tout relancer parce que j’ai mes sauvegardes. C’est vraiment très important de toujours veiller à avoir un système de sauvegardes solides.

Tristan : « Alors, on comprend bien le process en amont autour de ces cinq conseils, mais quand l’attaque a eu lieu, j’ai été piraté, du coup je ne suis pas payé… que dois-je faire ? »

Emmanuelle : « La première chose à faire, comme lorsque je suis victime d’un sinistre dans la vie quotidienne, c’est de porter plainte. Je me rends au commissariat de police ou de gendarmerie, en fonction de là où je réside, et je porte plainte. C’est vraiment important. Si j’ai un doute et que je ne sais pas réellement ce qui s’est passé, que j’ai besoin d’abord de me rassurer, je vais sur le site cybermalveillance.gouv.fr.
Je peux faire un auto-diagnostic de la situation dans laquelle je suis pour comprendre concrètement ce qui s’est passé. Parce que c’est vrai que dans ce type de situation, on met souvent un petit peu de temps à avoir la certitude de la cyberattaque, à comprendre réellement ce qui a pu se passer.
Donc on n’hésite pas surtout à aller sur ce site-là, à faire le diagnostic, et ensuite à porter plainte et à se rendre au commissariat. Ensuite, vis-à-vis des clients, c’est toujours important de communiquer avec transparence. Le client a besoin d’être rassuré, de comprendre ce qui s’est passé et de comprendre ce qu’il risque aussi, parce que lui, ça risque de le mettre en insécurité en se rendant compte que son paiement n’a pas été effectué, et il aura probablement reçu des relances. Donc d’une façon ou d’une autre, il sera au courant.
Donc je rassure mon client, je communique avec le plus de transparence possible les informations qui sont à ma disposition à l’instant T. Si je n’ai pas l’explication entière, ce qui arrivera probablement, ce n’est pas grave. Je suis victime, je prends le temps de me reconstruire, je mets en place tout ce qu’il faut pour pouvoir aller de l’avant le plus rapidement possible.
Et sachez que, si malheureusement cette cyberattaque se matérialise, le risque zéro n’existe pas. On doit l’anticiper et l’accepter. »

Tristan : « Merci beaucoup, Emmanuelle. »

Emmanuelle : « Avec plaisir. »

Tristan : « Alors, je retiens les bonnes pratiques.
1 : j’anticipe le problème en choisissant une bonne assurance cyber, en formant mes équipes à la cybercriminalité, en adoptant une bonne hygiène numérique, et je dois également vérifier mon contrat avec ma plateforme de paiement et sécuriser mes sauvegardes.
2 : je gère la crise au plus près de mon client pour le rassurer et l’accompagner dans ses démarches. Nous sommes ensemble et avant tout victimes.
3 : en cas de cyberattaque ou de tentative de fraude en ligne, je me rends immédiatement sur le site cybermalveillance.gouv.fr.

Merci encore, Emmanuelle, et merci à vous pour votre écoute.
Pour ne rien manquer des conseils de nos experts, pensez à vous abonner à notre chaîne de podcasts Explore Grand Est Académie, et n’oubliez pas de mettre des étoiles si cet épisode vous a été utile. »

Voix off : C’était Adopter les bonnes pratiques, un podcast de l’Agence régionale du tourisme Grand Est. Rendez-vous dans 15 jours pour un nouvel épisode.

Un podcast de l’Agence Régionale de Tourisme du Grand Est, produit avec

Un projet déployé avec le soutien de la Région Grand Est.
Explore Grand Est Académie fait l’objet d’un financement FEDER.

Ressources :

https://www.cybermalveillance.gouv.fr/