Z-INDEX accompagne les entreprises dans la sécurisation des données hébergées
En qualité d’hébergeur professionnel de solutions en ligne, Z-INDEX veille à sécuriser les infrastructures et données qui lui sont confiées par les entreprises. Une garantie qui passe par la sensibilisation des collaborateurs et la mise en place de processus de sécurité. Entretien avec Julien Gonzalès, Président de Z-Index.
GPO Magazine : Quelles sont les principales problématiques rencontrées par les entreprises ?
Julien Gonzalès : Les entreprises restent encore trop exposées aux risques liés au numérique. Leur niveau de protection des données est souvent faible, en raison notamment de leur infrastructure matériel (choix du matériel, niveau de sécurité interne), mais également du fait d’un manque de sensibilisation de leurs collaborateurs et de leurs clients sur les cyber risques (sur, par exemple, le choix des mots de passe, la protection des données, la vie privée).
Par ailleurs, leurs investissements pour faire monter en compétences leurs collaborateurs ou les sensibiliser sur le sujet de la sécurité ou mettre à jour leurs solutions en la matière sont également insuffisants.
GPO Magazine : Comment les accompagnez-vous ?
Julien Gonzalès : Dans le cadre de nos missions (création de sites ou d’applications Web, gestion de noms de domaine, gestion d’adresses email), nous entendons sensibiliser nos clients sur l’aspect sécuritaire. À cet effet, nous réalisons des audits de leur site Internet et de leurs applications Web. Parfois, nous sommes amenés à les contraindre à des choix dirigés sur les mots de passe ou la limitation des accès à leurs sites ou applications Web.
Nous intervenons également pour des études Forensic*, afin de déterminer l’origine de la faille de sécurité, son étendue, ainsi que les données impactées. Ces informations peuvent alors être transmises par les clients à leur compagnie d’assurance ou aux autorités compétentes.
GPO Magazine : Un exemple concret ?
Julien Gonzalès : Pour les sites de e-commerce, l’étape du paiement en ligne est un enjeu majeur et doit être sécurisée autant que possible. En effet, l’une des cyberattaques les plus courantes pour ces sites consiste à se faire « hacker » leur interface de paiement.
Pour exemple, chez l’un de nos prospects, un code avait été inséré dans les emails envoyés aux clients depuis le serveur, afin de présenter un faux formulaire bancaire lors du processus de commande, masquant ainsi le lien vers la bonne interface de paiement. Les clients payaient alors une première fois le site de vente en ligne, puis recevaient un message d’erreur. Ils étaient ensuite redirigés vers l’interface de la banque du site pour effectuer un nouveau règlement. In fine, ils payaient deux fois.
Après analyse, nous avons pu identifier l’origine de la faille : un compte administrateur du site de vente en ligne avait été compromis par un mot de passe ne respectant pas les prérequis en termes de sécurité, ce qui a permis au hacker d’introduire le code malveillant.
Pour sécuriser ce processus de paiement, nous préconisons de veiller au niveau de sécurité des comptes administrateurs et en particulier des mots de passe utilisés. Par ailleurs, nous conseillons de rediriger systématiquement les clients vers la banque du site de e-commerce pour le règlement des commandes. Des processus grâce auxquels nos clients n’ont jamais été confrontés à une telle cyber attaque.
* Étude du phénomène criminel et des éléments intéressant sa compréhension
