En 2024, les Jeux Olympiques et Paralympiques vont attirer près de 15 millions de touristes selon l’estimation de l’Office de Tourisme de Paris, soit une hausse estimée à près de 132,7% du nombre de touristes dans la capitale par rapport à une période estivale ordinaire.
Cette forte densité humaine est la cible privilégiée des hackers. Pourquoi ? Parce que les données personnelles de ces 15 millions de touristes sont une véritable mine d’or. Une fois détenues, elles peuvent servir par exemple à obtenir des services en votre nom (par exemple, lors d’une usurpation d’identité), à vous soutirer des informations sensibles telles que vos identifiants de compte bancaire afin de dérober votre argent (hameçonnage) ou encore à vous nuire. Le risque supplémentaire pouvant être un accès facilité à votre système d’information comme les postes de travail, les serveurs et les équipements réseaux de votre établissement.
Selon le magazine Le Point, aux Jeux Olympiques de Tokyo en 2021, 450 millions de cyberattaques avaient été recensées.
En somme, le mot d’ordre dès à présent est : CYBERSECURITE.
Protégez vos données personnelles est capital ; celles de vos clients également.
Et cela, peut débuter dès la mise en place d’une protection concernant votre réseau internet ouvert au public.
Sécurité avant tout
Un réseau ouvert est un réseau internet qui offre un accès internet au public, même si celui-ci est protégé par un mot de passe. Si en tant que restaurateur ou hôtelier vous fournissez à vos clients un réseau internet, voici quelques conseils pour vous permettre une première sécurisation.
Règle n°1 : Séparez les usages
L’une des règles d’or en matière de cybersécurité est de séparer les usages. Si vous proposez un réseau internet à votre clientèle, il est primordial que celui-ci ne soit pas le réseau interne de votre établissement. La ligne internet proposée à vos clients doit être dédiée à cet usage.
Règle n°2 : Utilisez un chiffrement à l’état de l’art WPA2
Lorsque vous utilisez le Wi-Fi, les informations que vous envoyez et recevez (comme les mots de passe, les messages, etc.) doivent être protégées pour que personne d’autre ne puisse y avoir accès. Pour cela, on utilise des techniques de chiffrement, une sorte de « code secret », pour que seuls ceux qui y sont autorisés puissent comprendre et lire ces informations.
Le point d’accès Wi-fi, est votre box internet, votre routeur, votre borne Wi-fi ou encore votre répétiteur Wi-fi. Pour protéger les informations envoyées via le Wi-Fi, vous devez utiliser un chiffrement dit robuste. L’ANSSI vous conseille une norme de sécurité appelée WPA2 pour garantir la sécurité de votre réseau Wi-Fi. Cette norme de sécurité utilise une méthode de chiffrement appelée algorithme de chiffrement AES-CCMP.
En résumé, vous devez configurer votre point d’accès Wi-Fi en utilisant le mode WPA2 avec l’algorithme de chiffrement AES-CCMP.
Pour consulter et/ou modifier le chiffrement de votre point d’accès Wi-Fi :
- Munissez-vous de vos identifiants administrateur de box
- Puis, allumez votre ordinateur
- Ensuite, ouvrez un navigateur
- Tapez sur votre moteur de recherche « nom de la box » + « url admin »
- Saisissez l’URL de connexion et vous accéderez à la page d’accueil de votre point d’accès Wi-Fi
- Rentrez vos identifiants administrateur de box
N’hésitez pas à chercher sur cette page vos paramètres Wi-Fi pour modifier votre chiffrement Wi-Fi. Si vous n’y parvenez pas, effectuez des recherches sur Internet qui vous permettront de retrouver le protocole adapté à votre point d’accès Wi-Fi.
Règle n°3 : Utilisez un mot de passe robuste
Pensez à utiliser un mot de passe complexe pour assurer la sécurité de votre réseau Wi-Fi. La CNIL propose trois formes robustes de mots de passe :
Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.
Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.
Vous trouverez plus d’explications dans cet article : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
Pour aller plus loin
Pour les plus curieux d’entre vous, sachez que l’ANSSI a rédigé 23 recommandations pour conserver la maîtrise de son réseau WI-FI. Ces recommandations sont à retrouver ici : https://cyber.gouv.fr/publications/securiser-les-acces-wi-fi
Conservez les données de trafic de vos utilisateurs
Sur Internet, identifier les auteurs d’infractions est souvent difficile car leur discrétion constitue leur plus grand atout (hameçonnage, chantage, attaque « Man in the Middle », usurpation d’identité etc.). Cependant, ces personnes malveillantes laissent des « données de trafic » lors de la commission de leurs délits, permettant aux enquêteurs de remonter leur piste. C’est dans cet objectif que le législateur a imposé à certains intermédiaires techniques dont ceux qui proposent un réseau internet ouvert au public l’obligation de conserver ses données de trafic.
Notion de données de trafic
Les données de trafic correspondent à des informations techniques liées à l’utilisation d’un réseau Internet. Sont par exemple des données de trafic :
- L’adresse IP, qui identifie l’appareil utilisé, la date, l’heure et la durée de la connexion et toute autre donnée identifiant la source de connexion
- L’identité de l’utilisateur (nom, prénom, date et lieu de naissance de la personne, adresse postale, adresse mail, numéro de téléphone)
Votre obligation : conservez ces données de trafic
L’article L.34-1 du CPCE impose aux professionnels de la filière HCR qui propose un réseau internet ouvert de conserver ces données de trafic, en vue de les transmettre aux services de police, de gendarmerie et de justice en cas d’enquête pénale.
N’hésitez pas à vous rapprocher de votre fournisseur Wi-Fi pour en savoir plus.
Ces données de trafic sont des données personnelles, qui devront être conservées en respectant une limite de temps.
Les données relatives à l’identité même de l’utilisateur doivent être conservées pendant un délai de 5 ans. Les données relatives à la création d’un compte (identifiant, pseudonyme) doivent être conservées 1 an.
Concernant les données techniques (adresse IP et port associé, numéro de l’identifiant, numéro d’identification), elles doivent être conservées 1 an.
Enfin, les données relatives à la sécurité des réseaux et aux installations doivent être conservées 3 mois maximum (les données qui identifient l’origine de la communication, la date, l’horaire et la durée de la communication, le destinataire de la communication et les services utilisés).
Liens utiles
Article de presse :
Mandiant alerte sur le risque de cyberattaques de grande ampleur pendant les Jeux Olympiques : https://www.usine-digitale.fr/article/mandidant-alerte-sur-le-risque-de-cyberattaques-de-grande-ampleur-pendant-les-jeux-olympiques.N2214311
Liens CNIL :
https://www.cnil.fr/fr/fournir-un-acces-internet-public-quelles-obligations
https://www.cnil.fr/fr/comprendre-mes-droits/le-droit-de-rectification-corriger-vos-informations
Liens ANSSI :
https://cyber.gouv.fr/bonnes-pratiques-protegez-vous
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/securite-usages-pro-perso
Texte de loi : Art.L.34-1 CPCE
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043887545