Dans un établissement HCR, plusieurs collaborateurs travaillent sur une messagerie générique commune. Pour limiter les failles de sécurité, le GNI a réfléchi à quelques astuces.
La messagerie électronique est devenue un moyen de communication privilégié entre un consommateur et un établissement HCR. Ainsi ces adresses mails génériques (contact, réservations, facturation…) contiennent de nombreuses données personnelles ou informations délicates. Parallèlement, plus de la moitié des cyberattaques ont pour porte d’entrée une messagerie électronique (tentatives de phishing, lien vers un virus ou malware, fraude au Président…) Il est donc primordial que chaque établissement sensibilise ses collaborateurs à la cybersécurité et plus encore ceux qui gèrent une des adresses mails génériques de l’établissement.
Voici les 6 conseils à retenir :
- Limiter au maximum les adresses mails génériques.
Essayer de créer une adresse par usage (réservations, facturation, informations…) ou par équipe pour limiter le nombre d’accès.
- Paramétrer les adresses mail sur un logiciel de messagerie.
Ne pas permettre la connexion via un webmail (messagerie en ligne).
Exiger le mot de passe à chaque ouverture de la messagerie (ne pas paramétrer l’enregistrement du mot de passe)
- Avoir des mots de passe solide.
La messagerie étant un point vulnérable de l’établissement, il est
nécessaire de choisir un mot de passe complexe : minimum 12 signes dont
des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Lire ici notre article sur les mots de passe.
- Être vigilant à l’ouverture de chaque mail
Vérifier les expéditeurs, ne pas ouvrir les pièces jointes ou cliquer
sur les liens automatiquement sans s’assurer du contenu. En cas de
doute sur un mail reçu demandant des informations, chercher à joindre
l’expéditeur par un autre moyen pour s’assurer de la véracité du mail.
A noter : en 2019 on constate une recrudescence des escroqueries aux Faux Ordres de VIrement (FOVI) (qui peut être soit une demande de changement de RIB soit une fraude au président). Cela consiste à faire croire à un collaborateur par appel ou par mail d’une urgence pour faire un virement, de changer le RIB d’un paiement ou toute demande d’ordre financier. Lire ici notre article sur ces escroqueries.
- En cas de réception de mails contenant les données bancaires des clients doivent être supprimés deux fois
Après avoir enregistré les données nécessaires avec un nom de fichier ne permettant pas d’identifier un individu (Ex la date du séjour) sur un serveur crypté et protégé d’un mot de passe complexe, il est fondamental que le mail soit supprimé définitivement. Pour cela il faut le supprimer deux fois : une fois il est mis dans la corbeille de la messagerie, une seconde fois pour le supprimer de cette corbeille.
- N’envoyer AUCUN mot de passe par mail !
Pour éviter la propagation du virus ou la pénétration du hacker,
aucun mot de passe ne doit être envoyé par mail, même
exceptionnellement, même si suppression définitive du mail concerné.
Pour plus de conseils en cybersécurité, consultez la rubrique dédiée : https://www.ghr.fr/europe-numerique/informatique/cybersecurite/